シングル サインオン 設定ガイド

生成日時: 2025/03/21 02:04:46 GMT+0000

目次

シングル サインオン管理 1

概要 1

必要な権限の取得 1

構成 - Web ベース サービス向けの 2 つの方法 1

Web ベース サービスの構成 - 一般的なプロセス 1

よくある質問 1

付録 - ADFS の設定 1

付録 - Microsoft Azure AD の設定 1

付録 - Google Workspace の設定 1

付録 - Idaptive の設定 1

付録 - Okta の設定 1

付録: PingOne の設定 1

付録 - SAP Cloud Identity Services - Identity Authentication Service (SAP IAS) の設定 1

付録 - SAP NetWeaver の設定 1

付録 - Google Workspace の設定 1

シングル サインオン管理

適用される SAP Concur ソリューションを以下に示します。

Expense

Professional/Premium edition Standard edition

Travel

Invoice

Professional/Premium edition Standard edition

Professional/Premium edition Standard edition

Request

Professional/Premium edition Standard edition

改訂履歴

日付

注意事項/コメント/変更内容

2024 年 1 月 22 日

セクション 13 の "はじめに" の 2 つ目の箇条書きを更新しました。

2023 年 12 月 19 日

セクション 13 の付録を更新しました。

2022 年 6 月 21 日

全体にわたって "SAP Concur サイトの構成" セクションと "過去の変更を表示" セクションを更新しました。

2022 年 5 月 18 日

付録 - ADFS の設定を更新しました。

2022 年 3 月 21 日

最終更新日にカンマを追加し、書式設定の問題を修正しました。表紙の日付に変更はありません。

2022 年 2 月 28 日

Google Workspace の設定手順を付録に追加しました。

2022 年 1 月 19 日

Web ベース サービスの構成 - 一般的なプロセス セクションの IdP メタデータを Concur にアップロードするというトピックの手順を更新しました。

2021 年 7 月 27 日

複数の付録を SSO の設定手順と併せて追加しました。

2021 年 4 月 15 日

著作権の年を更新しました。その他の変更はありません。表紙の日付に変更はありません。

2021 年 3 月 26 日

新しい [過去の変更を表示] 機能に関する情報を追加しました。

2020 年 12 月 2 日

誤字を修正しました。表紙の日付に変更はありません。

2020 年 11 月 14 日

初版発行

概要

 注記

複数の SAP Concur 製品バージョンおよび UI テーマが利用可能であるため、このコンテンツには、実装と正確に一致しないイメージまたは手順が含まれている場合があります。たとえば、SAP Fiori UI テーマが実装されている場合、ホーム ページのナビゲーションは [SAP Concur ホーム] メニューに統合されます。

シングル サインオン (SSO) により、ユーザーは一組のサインイン資格情報を使用して複数のアプリケーションにアクセスすることができます。シングル サインオン (SSO) 管理機能は SSO を設定するためのセルフサービス オプションを SAP Concur のお客様に提供します。

現在、SAP Concur ソリューションには、ユーザー名およびパスワードの使用、またはユーザーの組織のサインイン資格情報などのアイデンティティ プロバイダ (IdP) の資格情報のある SSO の使用、という 2 つの SAP Concur サービスへのサインイン方法があります。SSO は現在、Concur Expense、Concur Invoice、Concur Request、Concur Travel でサポートされています。

この機能を構成することで、組織のユーザーにシングル サインオンを設定することができます。

機能の利点

シングル サインオンの管理機能では、次の機能が提供されます。

法人管理者が Web とモバイルの両方のプラットフォームに IdP-initiated SSO と SP-initiated SSO を組織に設定することができるセルフサービス オプション

既存の SSO 機能を現在使用している企業が、新しいシングル サインオンの管理機能も活用できる機能 (両方の SSO オプションが同時に機能します)

すべてのユーザーに SSO を要求する機能

ユーザーのサインイン方法の改善 ユーザーのサインイン成功率の向上

本ガイドでは、SAP Concur サービスのシングル サインオンの管理を有効化し、構成する方法を説明しています。

必要事項

この機能を使用するには、SAML 2.0 標準をサポートする IdP (アイデンティティ プロバイダ) を利用しており、IdP メタデータを生成できる必要があります。

必要な権限の取得

 制限

このガイドに記載されている作業は SAP Concur Support にのみ許可されているものもあります。そのような作業が必要な場合、お客様が SAP Concur Support にサービス申請を提出する必要があります。

ユーザーが [シングル サインオンの管理] ページにアクセスするには、SSO マネージャー権限が割り当てられている必要があります。

 注記

法人管理者 (Travel) ロールを持つ管理者は、引き続き [シングル サインオンの管理] ページにアクセスできます。ただし、最小権限の原則に最もよく一致させるために、SAP Concur では、[シングル サインオンの管理] ページにアクセスする必要があるユーザーに SSO マネージャー ロールを割り当てることを推奨しています。

ユーザーは必要な権限が割り当てられると、[シングル サインオンの管理] ページにアクセスすることができるようになります。SAP Concur Professional Edition と Standard Edition では、ページを移動する方法が異なります。

詳細情報: SAP Concur Professional Edition および Standard Edition でページにアクセスする方法の説明については、Web ベース サービスの構成 - 一般的なプロセスのトピックのシングル サインオンの管理ページへのアクセスを参照してください。

Professional Edition をお使いで Concur Travel のみをお持ちのお客様

Professional Edition をお使いで Concur Travel をお持ちのお客様の場合、SSO マネージャー権限を持つすべてのユーザーに対して、[認証管理] メニューが自動的に表示されます。

追加のユーザーにアクセス権を付与するには、[管理] > [会社] > [組織管理] > [ロール管理] (左側メニュー) > [会社のアクセス許可を管理] を使用して、SSO マネージャー権限を割り当てます。

詳細情報: ロールと権限の割り当ての詳細については、製品共通: ユーザー管理ユーザー ガイドを参照してください。

Professional Edition をお使いのお客様

追加のユーザーにアクセス権を付与するには、[管理] > [会社] > [組織管理] > [ロール管理] (左側メニュー) を使用して SSO マネージャー権限を割り当てて、[出張] タブをクリックします。

Standard Edition をお使いのすべてのお客様

追加のユーザーにアクセスを付与するには、[設定] > [Concur にアクセス] セクションの [ユーザー アカウント] タイルの編集 > [ユーザーを追加/ユーザーを編集] ドロップダウンの [マニュアル] > [追加設定] タブに移動して、SSO マネージャー権限を割り当てることができます。

構成 - Web ベース サービス向けの 2 つの方法

SSO の構成には次の 2 つの方法があります。

アイデンティティ プロバイダ (IdP) 固有のプロセスに従う

- または -

一般的なプロセスに従う (下記に記載)

重要事項

両方の方法を下記に記載します。ただし、すべての管理者が一般的なプロセスの情報をレビューする必要があります。場合によっては、IdP が提供する情報を使用しても、一般的なプロセスのステップが必要になることがあります。

アイデンティティ プロバイダ (IdP) 固有のプロセス

SAP Concur は信頼性の高い統合プロセスを構築するために、複数の IdP と連携しました。以下の IdP のいずれかをお使いの場合、最良の方法として、SSO を設定する際に、以下の表で該当するリンクをクリックして説明に従ってください。

 注記

次の表に記載された個々の付録の説明およびリンクについては、内容がサード パーティー プロバイダから提供されているため、SAP Concur では正確性を保証することはできません。問題が発生した場合、サード パーティー プロバイダのサポート リソースにお問い合わせください。

アイデンティティ プロバイダ

設定 URL

ADFS

本ガイドの付録を参照してください。

Azure AD

本ガイドの付録を参照してください。詳細情報: https://docs.microsoft.com/en-us/azure/active-directory/saas-apps/concur-travel- and-expense-tutorial

Idaptive

本ガイドの付録を参照してください。

JumpCloud

https://jumpcloud-support.force.com/support/s/article/Single-Sign-On-SSO-with-Concur-Travel-and-Expense

Okta

本ガイドの付録を参照してください。詳細情報: https://saml- doc.okta.com/SAML_Docs/How-to-Configure-SAML-2.0-for-Concur-Travel-and- Expense.html

OneLogin

次のいずれかを選択します。

US (北米) のデータ センターをお使いの SAP Concur のお客様の場合: htpps://{subdomain}.onelogin.com/apps/new/124919

EMEA のデータ センターをお使いの SAP Concur のお客様の場合: https://{subdomain}.onelogin.com/apps/new/125208 中国のデータ センターをお使いの SAP Concur のお客様の場合: https://{subdomain}.onelogin.com/apps/new/127148

以下の点に注意してください。

記載されているように、お使いの OneLogin ドメインを上記の URL に追加する必要があります。

上記の URL を使用して SAP Concur アプリを OneLogin に追加すると、[Setup] タブが表示されます。SAP Concur への OneLogin メタデータのアップロードに関する説明については、そのタブにアクセスする必要があります。

Ping Identity

本ガイドの付録を参照してください。

SAP Identity Authentication Service (IAS)

本ガイドの付録を参照してください。

SAP NetWeaver

本ガイドの付録を参照してください。

一般的なプロセス

上記の表に記載されていない IdP を会社が使用している場合は、Web ベース サービスの構成 - 一般的なプロセスのトピックの該当する手順に従います。このトピックには、以下を構成するための手順が記載されています。

暗号化を使用しない SSO アプリ/コネクター 暗号化を使用する SSO アプリ/コネクター

Web ベース サービスの構成 - 一般的なプロセス

適切な権限が割り当てられると、SSO を構成できるようになります。以降のページでは、以下について説明します。

[シングル サインオンの管理] ページへのアクセス。

暗号化を使用しない SSO アプリ/コネクターの構成。

暗号化を使用する SSO アプリ/コネクターの構成 (任意)。

[シングル サインオンの管理]ページへのアクセス

[シングル サインオンの管理] ページにアクセスするには、ユーザーに法人管理者 (Travel) 権限または SSO マネージャー権限 (Professional Edition の場合) が割り当てられている必要があります。

詳細情報: 必要な権限の取得を参照してください。

Professional または Standard Edition の [シングル サインオンの管理] ページにアクセスするには:

  1. [管理] > [会社] > [認証管理] をクリックします。[認証管理] ページが表示されます。

英語のみ

  1. [シングル サインオンの管理] をクリックします。

英語のみ

[シングル サインオンの管理] ページが表示されます。

英語のみ

SAP Concur Standard Edition では、[製品設定] からも [シングル サインオンの管理] ページにアクセスすることができます。

英語のみ

暗号化を使用しない SSO アプリ/コネクターの構成

ステップ 1 およびステップ 6 は SAP Concur サービスが完了します。SAP Concur Support にお問い合わせください。

ステップ 2 からステップ 5 はご利用の IdP が完了します。ご質問がある場合は、アイデンティティ プロバイダにお問い合わせください。

ステップ 1: エンティティ ID および ACSエンドポイントの入手

エンティティ ID とは SAP Concur SSO の一意識別子であり、ACS エンドポイントはご利用の IdP が SAP Concur ソリューションに POST SAML アサーションを行うために使用するエンドポイントです。どちらも IdP で必要になります。

SAP Concur SP メタデータを確認することで、エンティティ ID および ACS エンドポイントを入手することができます。メタデータは、本ドキュメントに記載された該当地域 (データ センター) の URL をクリックして確認するか、[シングル サインオンの管理] ページから確認することができます。

お使いのデータ センターが所在する地域の URL をクリックして、エンティティ ID および ACS エンドポイントを取得するには:

エンティティがホストされている地域 (データ センター) の後の URL をクリックし、SAP Concur SP メタデータを確認します。

 注記

推奨ブラウザは Google Chrome です。

US (北米): https://www-us.api.concursolutions.com/sso/saml2/V1/sp/metadata/

EMEA: https://www-emea.api.concursolutions.com/sso/saml2/V1/sp/metadata/

中国: https://www-cn.api.concurcdc.cn/sso/saml2/V1/sp/metadata

[シングル サインオンの管理] ページからメタデータを確認するには:

  1. [管理] > [会社] > [認証管理] をクリックし、[シングル サインオンの管理] をクリックします。
  2. [URL をコピー] または [ダウンロード] をクリックします。

英語のみ

以下は、 https://www-us.api.concursolutions.com/sso/saml2/V1/sp/metadata/ の SAP Concur US SP メタデータのサンプルです。

 

赤枠はそれぞれエンティティ ID と ACS エンドポイントを示しています。

英語のみ

英語のみ

ステップ 2: エンティティ ID および ACS エンドポイントの提供

ご利用の IdP のカスタム アプリ/コネクターにエンティティ ID および ACS エンドポイントを提供します。

 注意

本ガイドのアイデンティティ プロバイダ (IdP) 固有のプロセス セクションの表にご利用の IdP が記載されていない場合、IdP のギャラリーや事前に構成された SAP Concur アプリ/コネクターを使用しないでください。従来のエンドポイントを持つ従来のアプリ/コネクターであるため、新しい SAP Concur SSO サービスと連携しません。

  その代わりに、IdP のカスタム アプリまたはコネクターを使用します。アイデンティティ プロバイダ (IdP) 固有のプロセス セクションに時折戻り、ご利用の IdP が表に追加されているかどうかを確認してください。

異なる IdP では、エンティティ ID と ACS エンドポイントに異なる名前が使用されます。以下の表は、一般的な多数の IdP のフィールド名を示しています。

IdP

エンティティ ID の名前

ACS エンドポイントの名前

IdP

エンティティ ID の名前

ACS エンドポイントの名前

Okta

Audience URI (SP EntityID)

Single sign on URL

Azure AD

ID (エンティティ ID)

応答 URL (アサーション コンシューマー サービス URL)

OneLogin

Audience

ACS (Consumer) URL

Ping

SP entityID

ACS URL

JumpCloud

SP Entity ID / SP Issuer / Audience

Assertion Consumer Service (ACS) URL

エンティティ ID や ACS エンドポイントの追加先が分からない場合は、ご利用のアイデンティティ プロバイダにお問い合わせください。

ステップ 3: 受信者 URL および宛先 URL の提供

受信者 URL および宛先 URL を IdP のカスタム アプリ/コネクターに提供します。

 注記

このステップは一部の IdP では任意ですが、他の IdP では必須になります。IdP で受信者 URL および宛先 URL が必要な場合、SAP Concur SP メタデータから入手した ACS エンドポイントを使用してそれらのフィールドに記入することができます。

IdP による受信者 URL および宛先 URL の追加処理の例を以下に示します。

Okta の場合、受信者 URL と宛先 URL の両方として ACS エンドポイントを使用するオプションがあります。

英語のみ

OneLogin の場合、受信者 URL を入力するフィールドがあります (宛先 URL のオプションはありません)。

英語のみ

ステップ 4: NameID (IdP) がユーザーの Login_ID (SAP Concur ソリューション) と一致することの確認

NameID フィールドの値が SAP Concur ユーザーの Login_ID と一致することを確認します。IdP は SAMLResponse XML ファイルを SAP Concur ソリューションに送信しますが、次の例に示すとおり、その SAMLResponse ファイル内には NameID フィールドがあります。

<saml2:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid- format:emailAddress">username@domain.com</saml2:NameID>

SAP Concur は、NameID フィールドから Login_ID まで username@domain.com を照合します。一致しない場合、SAP Concur ソリューションは正しいユーザーを特定することができないため、サインインは失敗します。

 注記

ご利用の IdP でお使いのメール アドレスが SAP Concur Login_ID と一致しない場合、カスタム ルールを使用して Concur の Login_ID と一致するメール アドレスまたはユーザー名を作成します。

IdP からのメール アドレスが SAP Concur の Login_ID と異なっているのはよくあることです。このような場合は、以下に示す、IdP 側で可能な構成の例を参照してください。

Okta の場合:

[Name ID format] フィールドで、[EmailAddress] を選択します。[Application username] フィールドで、[Email] を選択します。

英語のみ

Azure AD の場合、[Unique User Identifier] フィールドを user.mail に編集します。

英語のみ

NameID フィールドの構成方法が分からない場合は、ご利用のアイデンティティ プロバイダにお問い合わせください。

ステップ 5: IdP メタデータの入手

IdP は、IdP メタデータ ファイルまたは IdP メタデータ リンクを生成します。SAP Concur ソリューションでは、どちらともサポートしています。Okta と Azure AD の例を以下に示します。

 注記

ご利用の IdP のメタデータへのアクセス方法が不明の場合は、IdP にお問い合わせください。

Okta の場合、[Identity Provider Metadata] リンクを使用します。

英語のみ

Azure AD の場合、[アプリのフェデレーション メタデータ URL] リンクまたは [フェデレーション メタデータ XML] ダウンロードを使用します。

英語のみ

ステップ 6: IdP メタデータを Concur にアップロード

  1. [管理] > [会社] > [認証管理] をクリックし、[シングル サインオンの管理] をクリックします。
  2. [IdP メタデータ] セクションで [追加] をクリックします。

英語のみ

[IdP メタデータの追加] ウィンドウが表示されます。

英語のみ

  1. [カスタム IdP 名] フィールドに名前を入力します。

入力した名前は、[サインイン] ページでユーザーに表示されます。IdP 名のみを入力することをお奨めします。たとえば、ご利用の IdP が Okta である場合に、このフィールドに Okta と入力すると、ユーザーには [Okta でサインイン] と表示されます。

英語のみ

  1. [ログアウト URL] フィールドにログアウト URL を入力します。

既定では、URL が入力されない場合、ユーザーは SAP Concur からサインアウトすると、認証プロセスを開始した場所にリダイレクトされます。

カスタム ログアウト URL が指定されている場合、ユーザーは SAP Concur ソリューションからサインアウトすると、指定された URL にリダイレクトされます。

  1. [IdP のメタデータのアップロード] セクションで、[XML ファイルのアップロード] をクリックし、IdP からメタデータ ファイルをアップロードします。

英語のみ

  1. モバイルでサインイン オプションを非表示にし、concursolutions.com からサインインするには、[この SSO オプションを、Web またはモバイルから Concur にサインインするユーザーに対して非表示にする] チェックボックスを選択します。

既定では、このオプションは、ユーザーが concursolutions.com またはモバイル アプリから SP-initiated サインインを開始するときに、ユーザーに表示されます。このオプションは、ユーザーに IdP-initiated フローからサインインするように求める場合に非表示にすることができます。

英語のみ

  1. [メタデータの追加] をクリックします。

英語のみ

構成が IdP メタデータ テーブルに追加され、各構成のサマリーが表示されます。

エラー メッセージ

エラーが発生した場合、以下のメッセージが表示されます。

英語のみ

correlation_id を保存し、SAP Concur Support に問い合わせて correlation_id を伝えます。SAP Concur Support は、エラー メッセージを詳しく調査して、エラーのトラブルシューティングのためのステップを提供することができます。

ステップ 7: IdP-Initiated SSO のテスト

ご利用のアイデンティティ プロバイダから IdP-Initiated SSO URL を入手する必要があります。URL の場所は IdP によって異なります。Okta と Azure AD で SSO のテストを実施する例は以下のとおりです。ご利用の IdP も記載例と同様であると考えられます。

この IdP-Initiated SSO URL を入手すると、ブラウザに URL を貼り付けて、サインインを試すことができるようになります。Okta の場合、Okta ポータルのアプリ アイコン (埋め込み URL) をクリックします。

英語のみ

Azure AD の場合、次のいずれかを選択します。

[プロパティ] > [ユーザーのアクセス URL]

英語のみ

- または -

Concur Travel および Expense でシングル サインオンをテストする

英語のみ

IdP-Initiated SSO URL の検索についてのご質問は、ご利用のアイデンティティ プロバイダにお問い合わせください。

エラー メッセージ

SSO テスト サインインが失敗する場合、次のようなメッセージが表示されます。

英語のみ

最も一般的な原因は以下の 2 つです。

ユーザーが SAP Concur ソリューションに存在しない。

ご利用の IdP と SAP Concur のユーザー プロファイルで Login_ID が一致しない。

原因を特定するには、以下の手順に従います。

  1. SAMLtracer または Chrome ブラウザの検証機能を使用して、SAMLResponse を探します。(IdP は、SAMLResponse を介してユーザー情報を SAP Concur ソリューションに送信します。)
  2. base64decode ツールで SAMLResponse をデコードします。base64decode ツールはインターネットですぐに入手できます。
  3. <saml2:NameID> フィールドの値を探します。以下に例を示します。

<saml2:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid- format:emailAddress">username@domain.com</saml2:NameID>

  1. <saml2:NameID> フィールドで見つけた値 (前述の例では、 username@domain.com) とユーザーの SAP Concur Login_ID を比較します。

一致するものが見つからない場合、まず対応する SAP Concur Login_ID でユーザーを作成してから、再びテストを実施しなくてはなりません。

ユーザーが見つかり、当該ユーザーの SAP Concur Login_ID がご利用の IdP のユーザーの Login_ID と一致する場合、SAP Concur Support に連絡し、エラー メッセージに表示されたエラー ID を提供します。

ステップ 8: SP-Initiated SSO のテスト テストするには:

  1. www.concursolutions.com に移動します。
  1. SAP Concur ユーザー名を入力します。
  2. [[カスタム IdP 名] でサインイン] をクリックします。ご利用の IdP にリダイレクトされます。IdP に対して認証を行うと、SAP Concur ホーム ページが表示されます。

ステップ 9: SSO を任意または必須として有効化

[SSO の有効化] セクションには、SSO 設定を [SSO 任意] (既定値) から [SSO 必須] に変更するオプションがあります。

英語のみ

 注意

このアカウントが TMC によって管理されている場合、SSO 設定を [SSO 任意] から [SSO 必須] に変更する前に TMC に通知する必要があります。

SSO 設定を [SSO 必須] に変更した場合、すべてのユーザーが SSO を使用して IdP から concursolutions.com にサインインする必要があります。ユーザー (TMC、管理者、Web サービス、テスト ユーザー アカウントを含む) のユーザー名とパスワードによる concursolutions.com へのサインインはブロックされます。これは、ユーザーのサービスに混乱をもたらす可能性があります。

ベスト プラクティスは、すべてのユーザーが SSO を使用してサインインを行う方法を理解するまでは [SSO 任意] 設定を使用することです。設定を [SSO 必須] に変更する前に、60 日前、または組織で標準となっている通知期間でユーザーに通知することをお奨めします。

この変更に関するご質問は、SAP Concur Support にお問い合わせください。

 注意

SSO 設定を [SSO 必須] に変更すると、Web サインインとモバイル サインインの両方に影響します。SAP Concur Mobile アプリのバージョン 9.86 (11 月) から、SSO 設定を [SSO 必須] に変更する場合、Web とモバイル プラットフォームの両方で SSO を使用するサインインがユーザーに義務付けられるようになります。

SSO 構成の編集

前述のステップを使用して SSO 構成が作成されると、[カスタム IdP 名]、[ログアウト URL]、および [この SSO オプションを、Web またはモバイルから Concur にサインインするユーザーに対して非表示にする] チェックボックスの値を変更するために、構成を編集することができます。IdP メタデータは編集できません。

代わりに、新しい構成を作成し、その構成をテストしてから、元の構成を削除することをお奨めします。

構成を編集するには、編集する構成を選択して [編集] をクリックします。

英語のみ

必要な変更を行ったら、[保存] をクリックします。過去の変更を表示

現時点までに行われた SSO 構成への変更を表示するには、[過去の変更を表示] ボタンをクリックします。

英語のみ

テーブルに以前の変更が一覧表示されます。変更の一覧は、日付と時刻の降順で並べ替えられます。

英語のみ

テーブルには、過去に行われた 100 件の変更が表示されます。テーブルにリストされる変更内容としては、以下のようなものが含まれます。

構成の追加

構成の削除

[カスタム IdP 名] フィールドでの名前の編集[ログアウト URL] フィールドでの URL の編集

[この SSO オプションを、Web またはモバイルから Concur にサインインするユーザーに対して非表示にする] チェックボックスの値の編集

テーブルに一覧表示されている特定の変更に関する詳細情報を表示するには、目的のリスト項目の [表示] リンクをクリックします。

英語のみ

[表示] リンクをクリックすると、リスト項目の [過去の変更を表示] ページが表示されます。行った変更の種類により、ページに表示される詳細が異なります。

構成削除時の詳細

構成を削除した際に [過去の変更を表示] ページに表示される詳細としては以下のようなものが含まれます。

変更日付

変更のタイプ (削除)

変更された会社

変更を行ったユーザーの名前および UUID エンティティ ID

フレンドリ名 ログアウト URL

メタデータ 非表示

構成が削除されている場合、この構成を復元するための [復元] ボタンが [過去の変更を表示] ページに表示されます。構成が復元されると、この構成をサインイン プロセス中にユーザーが使用できるようになります。

削除された構成の [過去の変更を表示] ページの例

英語のみ

[復元] ボタンをクリックすると、構成を復元するためのアクションを確認するように求められます。構成を復元することを確認するには、[メタデータを戻す] をクリックします。構成の復元をキャンセルするには、[取り消しを確認] ページで、[戻さない] をクリックします。

英語のみ

削除した構成を復元することを選択したが、構成を復元できない場合は、[メタデータを戻す] ボタンをクリックすると、次のようなメッセージが表示されます。

英語のみ

構成編集時の詳細

構成を編集した際に [過去の変更を表示] ページに表示される詳細としては以下のようなものが含まれます。

変更日付

変更のタイプ (編集)

変更された会社

変更を行ったユーザーの名前および UUID 現在のエンティティ ID

現在のフレンドリ名 現在のログアウト URL

以前のエンティティ ID

以前のフレンドリ名 以前のログアウト URL

メタデータ 非表示

編集された構成の [過去の変更を表示] ページの例

英語のみ

構成追加時の詳細

構成を追加した際に [過去の変更を表示] ページに表示される詳細としては以下のようなものが含まれます。

変更日付

変更のタイプ (追加)

変更された会社

変更を行ったユーザーの名前および UUID エンティティ ID

フレンドリ名 ログアウト URL

メタデータ 非表示

追加された構成の [過去の変更を表示] ページの例

英語のみ

暗号化を使用する SSO アプリ/コネクターの構成 (任意)

テストを含め、暗号化を使用しない SSO アプリ/コネクターの構成セクションに記載されたステップをすべて行います。それから、ご利用の IdP が暗号化された SAMLResponse 機能に対応しているかどうかを確認します。対応している場合、以下のステップに従って暗号化を構成します。

ステップ 1: 暗号化キーを入手して保存

SAP Concur ソリューションから暗号化キーを入手して、encryption.crt ファイルに保存します。

暗号化キーを入手し、保存するには:

  1. エンティティがホストされている地域 (データ センター) に該当する URL をクリックして、SAP Concur SP メタデータを確認します (Chrome ブラウザ推奨)。

US (北米): https://www-us.api.concursolutions.com/sso/saml2/V1/sp/metadata/

EMEA:https://www-emea.api.concursolutions.com/sso/saml2/V1/sp/metadata/ 中国: https://www-cn.api.concurcdc.cn/sso/saml2/V1/sp/metadata

  1. 以下の例に示されているように、暗号化キーを見つけます。

英語のみ

  1. 暗号化証明書をプレーン テキスト ファイルにコピーします。

 注記

Word などのリッチ テキスト エディタは使用しないでください。

  1. 次に示すように、BEGIN/END CERTIFICATE の 2 つの行の間に貼り付けます。

-----BEGIN CERTIFICATE-----

<コピーした証明書はここに貼り付ける>

-----END CERTIFICATE-----

  1. encryption.crt として保存します。

英語のみ

ステップ 2: IdP に encryption.crt をアップロード

ご利用の IdP への encryption.crt のアップロードについてのご質問は、IdP にお問い合わせください。

Okta の場合、[Assertion Encryption] フィールドを [Encrypted] に設定してから、暗号化証明書をアップロードします。

英語のみ

Azure AD の場合、[トークン暗号化 (プレビュー)] オプションを使用して、暗号化証明書をアップロードします。

英語のみ

よくある質問

Q. SAP Concur はどの IdP をサポートしていますか。

A. SAP Concur には、SAML 2.0 標準をサポートしているすべてのアイデンティティ プロバイダとの互換性があります。

Q. SSO の強制はどのように機能しますか。

A. 現在、SAP Concur では、会社レベルでの SSO の強制がサポートされています。SAP Concur では、ユーザー ロールまたはユーザー グループに基づいた SSO の強制はサポートされていません。

SSO を設定する場合には、[SSO 任意] と [SSO 必須] という 2 つのオプションがあります。

[SSO 任意] が既定値です。これを選択すると、会社のすべてのユーザーが、標準のユーザー名とパスワードまたは SSO 資格情報を使用して SAP Concur サービスにサインインできるようになります。

SSO サインインのテストの終了後、SSO 設定を [SSO 必須] に変更できます。

 注意

SSO 設定を [SSO 必須] に変更すると、サービスの停止を招く恐れがあります。

SSO 設定を [SSO 必須] に変更すると、すべてのユーザーは SSO を使用して IdP 経由で concursolutions.com にサインインする必要があります。すべてのユーザー (TMC、管理者、Web サービス、およびテスト ユーザー アカウントを含む) は、自身のユーザー名とパスワードを使用して concursolutions.com にサインインすることができなくなります。

 注意

このアカウントが TMC によって管理されている場合、SSO 設定を [SSO 必須] に変更する前に TMC に通知する必要があります。

Q. SAP Concur では複数の IdP を設定できますか。

A. はい。SSO セルフサービス ツールにより、無制限に IdP を追加することができます。

Q. メタデータをアップロードしてから SSO サインインのテストをするまでどのくらい待つ必要がありますか。

A. ご利用の IdP の メタデータが SAP Concur に適切に保存されるとすぐに SSO サインインが機能します。

Q. 新しいセルフサービス プラットフォームに SSO を構成する場合、以前のプラットフォームの現行の SSO 構成に影響しますか。

A. いいえ。新しいセルフサービス プラットフォームに SSO を構成しても、以前のプラットフォームの現行の SSO 構成に影響を与えることはありません。従来の Concur SSO スタックから独立しているため、既存の SSO 構成と並行して安全に使用することができます。SSO サービスの構成を行ってテストを実施し、導入した後、既存の SSO をお使いのお客様は管理するツールを 1 つにするために、従来の SSO 構成の削除を依頼することができます。

Q. [シングル サインオンの管理] ページで現行の SSO 構成を表示できないのはなぜですか。

A. 現行の SSO 構成は以前の SSO サービスの一部であり、SAP Concur 従業員のみがその構成データにアクセスすることができるためです。

Q. [シングル サインオンの管理] ページからモバイル SSO を設定できますか。

A. はい。SAP Concur モバイル アプリのバージョン 9.86 から、本ドキュメントに記載されたプロセスを使用して SSO を構成すると、Web とモバイルの両方に対して SSO サインイン が有効化されるようになります。SSO 設定を [SSO 任意] から [SSO 必須] に変更する場合、ユーザーは Web とモバイル プラットフォームの両方で SSO を使用してサインインしなくてはなりません。

Q. SAP Concur は SAML SSO を介する "ジャストインタイム ユーザー プロビジョニング" をサポートしていますか。

A: いいえ。今後のアップデートの対象になっています。

Q. SAP Concur は "ホーム領域検出" をサポートしていますか。

A. はい。ホーム領域検出サービスは SP-Initiated SSO フローの背後にある API です。

付録 - ADFS の設定

 注記

このセクションに記載された付録の説明については、内容がサード パーティー プロバイダから提供されているため、SAP Concur では正確性を保証することはできません。問題が発生した場合、サード パーティー プロバイダのサポート リソースにお問い合わせください。

はじめに

構成プロセスを開始する前に、以下の点を確認します。

ADFS と SAP Concur の両方にユーザーが存在している必要があります。SAP Concur は現在、自動ユーザー プロビジョニングをサポートしていないため、別途ユーザーを追加する必要があります。

ADFS から送信する属性が、SAP Concur の各従業員の [ログイン ID] (ユーザー名/CTE ログイン名) フィールドと一致しています。

SAP Concur アカウントに SSO マネージャー権限が割り当てられている必要があります。これにより、[シングル サインオンの管理] ページにアクセスすることができます。

SAP Concur アカウントに法人管理者 (Travel の権限) が割り当てられている必要があります。権限を取得したら、SAP Concur のエディションに応じて、以下のいずれかのパスを使用して [SSO の管理] ページにアクセスできます。

SAP Concur Standard Edition の場合:

  1. [管理] > [経費の設定] に移動します。

英語のみ

  1. [Concur にアクセス] セクションで、[1 つの詳細設定を表示] をクリックします。

英語のみ

  1. [シングル サインオンの管理] をクリックして、[SSO の管理] ページにアクセスします。

英語のみ

SAP Concur Professional Edition の場合:

  1. [管理] > [会社] > [認証管理] に移動します。

英語のみ

  1. [シングル サインオンの管理] をクリックして、[SSO の管理] ページにアクセスします。

英語のみ

または、以下のいずれかの URL を使用して、ページにアクセスすることができます。

US DC 本稼動: https://www.concursolutions.com/nui/authadmin/ssoadmin

US DC テスト: https://implementation.concursolutions.com/nui/authadmin/ssoadmin EMEA DC 本稼動: https://eu1.concursolutions.com/nui/authadmin/ssoadmin

EMEA DC テスト: https://eu1imp.concursolutions.com/nui/authadmin/ssoadmin CN DC 本稼動: https://www.concurcdc.cn/nui/authadmin/ssoadmin

 注記

権限を取得しておらず、自分のプロファイルに割り当てることもできない場合は、会社のサポート問合せ権限の保持者に依頼し、SAP Concur Support までお問い合わせください。

ADFS アプリケーションの構成

  1. [証明書利用者信頼の追加] ウィザードを起動します。

英語のみ

英語のみ

英語のみ

  1. [データソースを選択] ダイアログで、任意のオプションを選択します。
    1. オンラインまたはローカル ネットワークで公開されている証明書利用者に関するデータをインポートする (メタデータ URLをアップロードする場合)
    2. 証明書利用者に関するデータをファイルからインポートする (メタデータ xml ファイルをアップロードする場合)
    3. 証明書利用者に関するデータを手動で入力す (構成フィールドを手動で入力する場合)
  2. オプションを選択したら、[次へ] をクリックします。

メタデータファイルまたはメタデータ URL は、SAP Concur アカウントの [認証管理] > [シングルサインオンの管理] ページから取得できます。このページにアクセスする方法の詳細については、前述のはじめにセクションを参照してください。

[オンラインまたはローカル ネットワークで公開されている証明書利用者に関するデータをインポートする] または [証明書利用者に関するデータをファイルからインポートする] を選択した場合は、ADFS の [証明書の構成]、[URL の構成]、および [識別子の構成] の各セクションが自動的に入力されます。その場合は、このガイドのステップ 8 までスキップしてください。マニュアル設定を選択した場合は、ステップ 3 ~ 7 が必要です。

英語のみ

  1. [表示名の指定] ダイアログで、[表示名] フィールドに希望のラベルを入力し、[次へ] をクリックします。

英語のみ

  1. [プロファイルの選択] ダイアログで、[AD FS プロファイル] オプションを選択し、[次へ] をクリックします。

英語のみ

  1. [証明書の構成] ダイアログで、SAP Concur 暗号化証明書を手動でアップロードします。これは、はじめにセクションの説明に従って、SAP Concur の [SSO の管理] ページから取得することができます。それから SAP Concur メタデータに移動し、暗号化証明書を抽出してお使いの PC に保存します。暗号化証明書を参照してアップロードし、[次へ] をクリックします。

英語のみ

  1. [URL の構成] ダイアログで、[SAML 2.0 WebSSO プロトコルのサポートを有効にする] を選択し、証明書利用者の SAML 2.0 SSO サービス URLを入力します。

 

US (北米): https://www-us.api.concursolutions.com/sso/saml2/V1/acs/ EMEA: https://www-emea.api.concursolutions.com/sso/saml2/V1/acs/

中国: https://www-cn.api.concursolutions.com/sso/saml2/V1/acs/

英語のみ

  1. [識別子の構成] ダイアログで、[証明書利用者信頼識別子] を追加します。 US (北米): https://us.api.concursolutions.com/saml2

EMEA: https://emea.api.concursolutions.com/saml2 中国: https://cn.api.concursolutions.com/saml2

英語のみ

  1. [今回は、この証明書利用者信頼に対して多要素認証設定を構成しません] オプションを選択してから、[次へ] をクリックします。

英語のみ

  1. [発行認証ルールを選択する] ダイアログで、[すべてのユーザーに対してこの証明書利用者へのアクセスを許可する] オプションを選択してから、[次へ] をクリックします。

英語のみ

  1. 必要に応じて、新たに構成した証明書利用者信頼を見直します。まだメタデータを更新していない場合、[信頼の追加の準備完了] ダイアログで [署名] タブをクリックし、SAP Concur メタデータを追加してから [次へ] をクリックします。

英語のみ

  1. [完了] ダイアログで、[ウィザードを閉じるときにこの証明書利用者の [要求規則の編集] ダイアログを開きます] オプションを選択し、

[閉じる] をクリックします。

英語のみ

変換要求規則追加ウィザードが自動的に表示されます。

  1. 以下の 2 つの規則を作成します。

規則 1

規則 2:

  1. 要求規則テンプレートを [入力方向の要求を変換] として設定します。
  2. 要求規則名を追加します。
  3. 入力方向の要求の種類 = 電子メール アドレス
  4. 出力方向の要求の種類 = 名前 ID
  5. 出力方向の名前 ID の形式 = 電子メール
  6. [すべての要求値をパススルーする] が選択されていることを確認します。
  7. [完了] をクリックします。

ユーザーが認証するときにアサーションで渡される名前 ID の値の場合、この値はユーザーの SAP Concur ログイン ID と一致する必要があります。SAP Concur をお使いのほとんどのお客様はログイン ID としてメール アドレスを使用していることから、既定では、これが要求規則を設定する方法になっています。

ただし、たとえば、employeeID@companydomain.com などの異なる形式を SAP Concur ログイン ID に使用している場合は、LDAP 属性が employeeid および companydomain.com を送信できるように、この規則をカスタマイズする必要があります。これは SP-Initiated ログインの要件であるため、作成されたその他のカスタム ロールでは名前 ID の形式は必ず "メール アドレス" として送信されるようにする必要があります。

SAP Concur サイトの構成

構成を完了するには、ADFS メタデータ ファイルのコピーをローカル マシンに保存します。

SAP Concur に ADFS メタデータを入力するには:

  1. SAP Concur にサインインします。
  2. [シングル サインオンの管理] ページにアクセスします。
  3. [IdP メタデータ] セクションで [追加] をクリックします。

英語のみ

[IdP メタデータの追加] ウィンドウが表示されます。

英語のみ

  1. [IdP メタデータの追加] ウィンドウの [IdP のメタデータのアップロード] セクションで、[XML ファイルのアップロード] をクリックして ADFS メタデータ ファイルをアップロードします。

英語のみ

  1. モバイルでサインイン オプションを非表示にし、concursolutions.com からサインインするには、[この SSO オプションを、Web またはモバイルから Concur にサインインするユーザーに対して非表示にする] チェックボックスを選択します。

既定では、このオプションは、ユーザーが concursolutions.com またはモバイル アプリから SP-initiated サインインを開始するときに、ユーザーに表示されます。このオプションは、ユーザーに IdP-initiated フローからサインインするように求める場合に非表示にすることができます。

英語のみ

  1. [メタデータの追加] をクリックします。

英語のみ

SSO ログインのテスト

IdP-Initiated SSO のテスト

IdP-Initiated SSO ログインをテストするために、このテストを行うユーザーやグループに ADFS の新しいアプリケーションを割り当てていることを確認します。次のような ADFS URL を使用します。

Https://[フェデレーション サービス識別子のドメイン]/adfs/ls/idpinitiatedsignon.aspx?loginToRp= [証明書利用者信頼の識別子]

この URL が適切な場合、ADFS 資格情報の入力を促され、すでにログインしている SAP Concur ホームページにリダイレクトされます。

SP-initiated SSO のテスト

SP-initiated SSO をテストするには:

  1. テストを行う環境に応じた SAP Concur ログイン ページを開きます。 US DC 本稼動: https://www.concursolutions.com/

US DC テスト: https://implementation.concursolutions.com/ EMEA DC 本稼動: https://eu1.concursolutions.com/

EMEA DC テスト: https://eu1imp.concursolutions.com/ CN DC 本稼動: https://www.concurcdc.cn/

ログイン ページでユーザー名、確認済みメール アドレス、または SSO コードを追加して続行できます。[次へ] をクリックすると、最近作成した SSO 構成のオプションが表示されます。クリックして、SAP Concur にリダイレクトするアイデンティティ プロバイダ アカウントの認証を続行します。

  1. ログイン ページでユーザー名、確認済みメール アドレス、または SSO コードを追加して続行できます。[次へ] をクリックすると、最近作成した SSO 構成のオプションが表示されます。クリックして、SAP Concur にリダイレクトするアイデンティティ プロバイダ アカウントの認証を続行します。

英語のみ

英語のみ

ADFS 資格情報を追加した後、ADFS でエラー メッセージが表示された場合、設定が完了していないことを示している可能性があります。 エラー メッセージが SAP Concur 側のものである場合、資格情報が一致しない、証明書が無効である、または設定が指定されていない可能性があります。IdP-Initiated ログインが機能していても SP-Initiated ログインが機能していない場合、ADFS 側の名前 ID が適切なフォーマットで送信されていないことが原因で発生している可能性があります。これは ADFS アプリケーションの構成セクションで説明しています。

問題が解決しない場合、表示されたエラー ID をコピーし、SAP Concur Support にお問い合わせください。

モバイル シングル サインオン (SSO)

SAMLv2 プラットフォームで作成された SSO 構成の場合、モバイル SSO はメタデータが保存されるとすぐに自動的に有効になります。ただし、このオプションが機能するには、SP-Initiated フローが機能している必要があります。これは、前述の SSO ログインのテスト セクションを使用して検証することができます。

 注記

モバイル SSO の自動有効化は、アプリのバージョンが 9.86 以降であり、かつ、ユーザーが新しいサインイン操作を選択している場合のみ表示されます。このオプションは旧バージョンのユーザー、または以前のサインイン操作を選択しているユーザーには自動的に非表示になります。

モバイル アプリで SSO を使用する認証時に問題がある場合、SAP Concur Support チームにチケットを作成し、表示されたエラー ID やメッセージをスクリーンショットと一緒に提供してください。

メール通知

SSO URL を反映するための備忘メールの構成は、SAP Concur Support が完了する必要がある変更です。続行するには、SAP Concur Support チームにチケットを作成し、備忘メールのリダイレクト URL を調整できるように、IDP 側で作成されたアプリケーションからの IDP URL を入力してください。URL の取得方法の詳細については、この付録の SSO ログインのテスト > IdP-Initiated SSO のテスト セクションを参照してください。

展開

新しい SSO 構成をテストしたら、このアクセスが必要なすべてのユーザーおよびグループに新しい Azure AD アプリケーションを割り当てることで、展開の計画を立てることができます。

[SSO の管理] ページでは、SSO 設定を [SSO 任意] から [SSO 必須] に変更することで、この新しい SSO 接続を強制するオプションも提供されます。変更すると、ユーザーは SP-initiated フローを介してユーザー名を提供することで SAP Concur にリダイレクトされるようになります。

 

モバイル SSO のみを強制する必要がある場合は、SAP Concur Support までお問い合わせください。

英語のみ

付録 - Microsoft Azure AD の設定

 注記

このセクションに記載された付録の説明については、内容がサード パーティー プロバイダから提供されているため、SAP Concur では正確性を保証することはできません。問題が発生した場合、サード パーティー プロバイダのサポート リソースにお問い合わせください。

はじめに

構成プロセスを開始する前に、以下の点を確認します。

Azure AD と SAP Concur の両方にユーザーが存在している必要があります。SAP Concur は現在、自動ユーザー プロビジョニングをサポートしていないため、別途ユーザーを追加する必要があります。

Azure AD から送信する属性が、SAP Concur の各従業員の [ログイン ID] (ユーザー名/CTE ログイン名) フィールドと一致しています。

SAP Concur アカウントに SSO マネージャー権限が割り当てられている必要があります。これにより、[シングル サインオンの管理] ページにアクセスすることができます。

SAP Concur アカウントに法人管理者 (Travel の権限) が割り当てられている必要があります。権限を取得したら、SAP Concur のエディションに応じて、以下のいずれかのパスを使用して [SSO の管理] ページにアクセスできます。

SAP Concur Standard Edition の場合:

  1. [管理] > [経費の設定] に移動します。

英語のみ

  1. [Concur にアクセス] セクションで、[1 つの詳細設定を表示] をクリックします。

英語のみ

  1. [シングル サインオンの管理] をクリックして、[SSO の管理] ページにアクセスします。

英語のみ

SAP Concur Professional Edition の場合:

  1. [管理] > [会社] > [認証管理] に移動します。

英語のみ

  1. [シングル サインオンの管理] をクリックして、[SSO の管理] ページにアクセスします。

英語のみ

または、以下のいずれかの URL を使用して、ページにアクセスすることができます。

US DC 本稼動: https://www.concursolutions.com/nui/authadmin/ssoadmin

US DC テスト: https://implementation.concursolutions.com/nui/authadmin/ssoadmin EMEA DC 本稼動: https://eu1.concursolutions.com/nui/authadmin/ssoadmin

EMEA DC テスト: https://eu1imp.concursolutions.com/nui/authadmin/ssoadmin CN DC 本稼動: https://www.concurcdc.cn/nui/authadmin/ssoadmin

 注記

権限を取得しておらず、自分のプロファイルに割り当てることもできない場合は、会社のサポート問合せ権限の保持者に依頼し、SAP Concur Support までお問い合わせください。

Azure AD アプリケーションの構成

このセクションの補足参考情報として Microsoft Azure AD ガイドを参照してください。

ステップ 1: ギャラリー アプリケーションの作成

  1. [ホーム] > [エンタープライズ アプリケーション] に移動して、[新しいアプリケーション] をクリックします。

英語のみ

  1. Concur を検索します。
  2. [SAP Concur Travel and Expense] オプションを選択します。黒いアイコンの SAP Concur オプションは使用しないでください。このオプションは、従来の SSO プラットフォームで使用されますが、推奨される SAML2 SSO プラットフォームではないためです。

英語のみ

  1. [作成] をクリックします。
  2. [シングル サインオンの設定] をクリックしてから、[SAML] をクリックします。

英語のみ

英語のみ

ステップ 2: Azure ID に識別子および応答 URL を入力

  1. [メタデータ ファイルのアップロード] をクリックして、SAP Concur メタデータをアップロードします。

または

  1. [基本的な SAML 構成] オプションの [編集] をクリックし、SAP Concur エンティティのデータセンターに関連しない識別子 (エンティティ ID) および応答 URL (アサーション コンシューマー サービス URL) を削除します。

 注記

SAP Concur テスト エンティティの場合、必ず SAP Concur メタデータをアップロードして、適切な識別子 (エンティティ Id) と応答 URL (アサーション コンシューマー サービス URL) を取得する必要があります。

英語のみ

  1. [SSO の管理] ページで SAP Concur メタデータを取得するには、[URL をコピー] をクリックしてから新しいブラウザ タブにその URL を貼り付けるか、[ダウンロード] をクリックしてダウンロードしたファイルを開きます。

英語のみ

ステップ 3: 一意のユーザー ID の変更

既定の一意のユーザー ID は user.userprincipalname です。SAP Concur では、一意のユーザー ID にメール アドレス形式を使用する必要があります。

  1. [ユーザー属性 & 要求] セクションで、鉛筆アイコンをクリックしてこのフィールドを編集します。
  2. user.userprincipalname を "user.mail" に変更します。この変更を行うと、次のスクリーンショットのように表示されます。

英語のみ

英語のみ

SAP Concur のログイン ID がメール アドレスと一致しない場合でも、一意のユーザー ID でカスタマイズを構築できるため、SAP Concur に異なる値が送信されます。ただし、どの変換規則についても、引き続きメール アドレス形式で送信するようにしてください。異なる形式はモバイル アプリや concursolutions.com から行ったログインに影響を与える可能性があります。

ステップ 5: Azure AD メタデータ ファイルのダウンロード

[ダウンロード] をクリックして "フェデレーション メタデータ XML" をダウンロードし、メタデータをローカル コンピュータに保存するか、紙のアイコンをクリックして "アプリのフェデレーション メタデータ URL" をコピーします。

英語のみ

 注記

メタデータ ファイルを SAP Concur にアップロードする前に、[管理] > [プロパティ] から[ユーザーの割り当てが必要ですか?] 設定が適切に設定されていることを確認してください。推奨設定である [はい] に設定されている場合、[ユーザーおよびグループ] でユーザーを追加する必要があります。

英語のみ

SAP Concur サイトの構成

  1. [概要] セクションに記載されているステップに従って、[SSO の管理] ページに移動します。
  2. [IdP メタデータ] セクションで [追加] をクリックします。

英語のみ

[IdP メタデータの追加] ウィンドウが表示されます。

英語のみ

  1. IdP 接続に適切な名前を入力し、その名前を [カスタム IdP 名] フィールドに入力します。

 注記

SP-initiated フロー (SAP Concur のパブリック サイトを経由: https://www.concursolutions.com/nui/signin) を使用する場合、ユーザー名を入力し、[次へ] をクリックするとすぐに [カスタム IdP 名] が [サインイン] ページに表示されます。たとえば、[カスタム IdP 名] が "Azure" の場合、[Azure でサインイン] オプションが表示されます。

英語のみ

  1. ユーザーがログアウトした際にほかの場所にリダイレクトされるように [ログアウト URL] (任意) を入力します。既定では、URL が入力されない場合、ユーザーは認証プロセスを開始した場所にリダイレクトされます。
  2. [IdP のメタデータのアップロード] セクションで、[XML ファイルのアップロード] をクリックし、IdP から以前にローカルに保存されたメタデータ ファイルをアップロードします。

英語のみ

  1. モバイルでサインイン オプションを非表示にし、concursolutions.com からサインインするには、[この SSO オプションを、Web またはモバイルから Concur にサインインするユーザーに対して非表示にする] チェックボックスを選択します。

既定では、このオプションは、ユーザーが concursolutions.com またはモバイル アプリから SP-initiated サインインを開始するときに、ユーザーに表示されます。このオプションは、ユーザーに IdP-initiated フローからサインインするように求める場合に非表示にすることができます。

英語のみ

  1. [メタデータの追加] をクリックします。

英語のみ

  1. 正常に追加されたことを示す確認または問題が発生したことを示すメッセージが表示されます。後者の場合は、SAP Concur Support に連絡し、相関 ID を提供してください。

英語のみ

英語のみ

SSO ログインのテスト

前述のステップで IdP メタデータが SAP Concur に正常にアップロードされると、SSO のテストを開始できます。このセクションでは、IdP-Initiated (アイデンティティ プロバイダ側で開始される) フローおよび SP-Initiated (サービス プロバイダ側で開始される) フローをテストすることができます。

IdP-initiated SSO のテスト

(オプション 1) [テスト] ボタンを使用して IdP-initiated SSO をテストするには:

  1. Azure AD で同じメール アドレスを持つ同一のアカウントが SAP Concur に存在する場合、Azure で [テスト] をクリックして IDP-initiated フローのテスト ログインを実行できます。モバイル SSO テストで重要になることから、SP-Initiated フローをテストする必要があることには変わりありません。

英語のみ

SSO をテストする前に、先ほど構成したこのテスト アプリケーションに Azure AD から新たに追加するユーザーを追加します。これを行うには、[ユーザーおよびグループ] をクリックして [+ ユーザーの追加] をクリックします。

英語のみ

(オプション 2) ユーザーのアクセス URL で IdP-initiated SSO をテストするには:

  1. [管理] > [プロパティ] に移動し、[ユーザーのアクセス URL] をコピーします。テスト ユーザーにこの URL を提供し、これをコピーしてブラウザに貼り付けるように依頼します。まず、Microsoft のログイン ページが表示されます。その後、ほかの操作を行うことなく、直接 SAP Concur に対して認証が行われます。

英語のみ

(オプション 3) Microsoft 365 で IdP-initiated SSO をテストするには:

  1. アプリケーションを数人のテスト ユーザーに割り当てると、Microsoft 365 ポータルに新しいアプリケーションが表示されるようになります。ユーザーは新しいアプリケーションをクリックできるようになり、それから SAP Concur に対して直接認証されることになります。SAP Concur アプリケーション アイコンの背後の URL は 1 つ目のテスト オプションのユーザーのアクセス URL と同じです。

SP-initiated SSO のテスト

SP-initiated SSO をテストするには:

  1. テストを行う環境に応じた SAP Concur ログイン ページを開きます。 US DC 本稼動: https://www.concursolutions.com/

US DC テスト: https://implementation.concursolutions.com/ EMEA DC 本稼動: https://eu1.concursolutions.com/

EMEA DC テスト: https://eu1imp.concursolutions.com/ CN DC 本稼動: https://www.concurcdc.cn/

  1. ログイン ページでユーザー名、確認済みメール アドレス、または SSO コードを追加して続行できます。[次へ] をクリックすると、最近作成した SSO 構成のオプションが表示されます。クリックして、SAP Concur にリダイレクトするアイデンティティ プロバイダ アカウントの認証を続行します。

英語のみ

英語のみ

モバイル シングル サインオン (SSO)

SAMLv2 プラットフォームで作成された SSO 構成の場合、モバイル SSO はメタデータが保存されるとすぐに自動的に有効になります。ただし、このオプションが機能するには、SP-Initiated フローが機能している必要があります。これは、前述の SSO ログインのテスト セクションを使用して検証することができます。

 注記

モバイル SSO の自動有効化は、アプリのバージョンが 9.86 以降であり、かつ、ユーザーが新しいサインイン操作を選択している場合のみ表示されます。このオプションは旧バージョンのユーザー、または以前のサインイン操作を選択しているユーザーには自動的に非表示になります。そのような場合、ユーザーがモバイル端末でも SSO を使用して必ずログインできるようにするには、SAP Concur Support チームにチケットを作成し、サポート チームが従来のアプリ バージョンにモバイル SSO を有効化できるように、Azure 側で構築したアプリケーションの "ユーザーのアクセス URL" を提供してください。この URL は Azure 管理者アカウントの [管理] > [プロパティ] から入手できます。

モバイル アプリで SSO を使用する認証時に問題がある場合、SAP Concur Support チームにチケットを作成し、表示されたエラー ID やメッセージをスクリーンショットと一緒に提供してください。

メール通知

SSO URL を反映するための備忘メールの構成は、SAP Concur Support が完了する必要がある変更です。続行するには、SAP Concur Support チームにチケットを作成し、備忘メールのリダイレクト URL を調整できるように、IDP 側で作成されたアプリケーションからの IDP URL を入力してください。URL の取得方法の詳細については、この付録の SSO ログインのテスト > IdP-Initiated SSO のテスト セクションを参照してください。

展開

新しい SSO 構成をテストしたら、このアクセスが必要なすべてのユーザーおよびグループに新しい Azure AD アプリケーションを割り当てることで、展開の計画を立てることができます。

[SSO の管理] ページでは、SSO 設定を [SSO 任意] から [SSO 必須] に変更することで、この新しい SSO 接続を強制するオプションも提供されます。変更すると、ユーザーは SP-initiated フローを介してユーザー名を提供することで SAP Concur にリダイレクトされるようになります。

 

モバイル SSO のみを強制する必要がある場合は、SAP Concur Support までお問い合わせください。

英語のみ

付録 - Google Workspace の設定

概要

構成プロセスを開始する前に、以下を確認してください。

アイデンティティ プロバイダ (Google Workspace) への管理アクセス権が必要です。これは、Google Workspace 側でアプリケーション構成を完了するために必要となります。

Google Workspace と SAP Concur の両方にユーザーが存在している必要があります。Concur は現在、自動ユーザー プロビジョニングをサポートしていないため、別途ユーザーを追加する必要があります。

Google Workspace から送信する属性が、SAP Concur の各従業員の [ログインID] (ユーザー名/CTE ログイン名) フィールドと一致しています。

SAP Concur アカウントに SSO マネージャー権限が割り当てられている必要があります。これにより、[シングル サインオンの管理] ページにアクセスすることができます。

SAP Concur アカウントに法人管理者 (Travel の権限) が割り当てられている必要があります。権限を取得すると、SAP Concur エディションに応じて以下のいずれかのパスに従って、 [SSO の管理] ページにアクセスできるようになります。

SAP Concur Professional Edition:

  1. [管理] > [会社] > [認証管理] に移動します。

英語のみ

  1. [シングル サインオンの管理] をクリックして、[SSO の管理] ページにアクセスします。

英語のみ

または、以下のいずれかの URL を使用して、ページにアクセスすることができます。

US DC 本稼動: https://www.concursolutions.com/nui/authadmin/ssoadmin

US DC テスト: https://implementation.concursolutions.com/nui/authadmin/ssoadmin EMEA DC 本稼動: https://eu1.concursolutions.com/nui/authadmin/ssoadmin EMEA DC テスト: https://eu1imp.concursolutions.com/nui/authadmin/ssoadmin CN DC 本稼動: https://www.concurcdc.cn/nui/authadmin/ssoadmin

 注記

権限を取得しておらず、自分のプロファイルに割り当てることもできない場合は、会社のサポート問合せ権限の保持者に依頼し、SAP Concur Support までお問い合わせください。

SAP Concur Standard Edition:

  1. [管理] > [経費の設定] に移動します。

英語のみ

  1. [Concur にアクセス] で、[1 つの詳細設定を表示] をクリックします。

英語のみ

  1. [シングル サインオンの管理] をクリックして、[SSO の管理] ページにアクセスします。

英語のみ

Google Workspace (IDP) アプリの構成

ステップ 1: SAP Concur メタデータの取得

これを完了するには、本ガイドの前述の準備セクションの指示に従って、SAP Concur アカウントにログインし、[SSO の管理] セクションにアクセスする必要があります。[SSO の管理] ページで SAP Concur メタデータを取得するには、[URL をコピー] をクリックしてから新しいブラウザ タブにその URL を貼り付けるか、[ダウンロード] をクリックしてダウンロードしたファイルを開きます。

英語のみ

ステップ 2: 独自のカスタム SAP Concur SAML アプリの設定

  1. Google 管理コンソールにサイン インします。

 注記

(スーパー管理者権限を持つアカウント (@gmail.com などで終わらないアカウント) を使用してサイン インします)。

  1. 管理コンソールのホーム ページから、[ウェブ アプリとモバイル アプリ] に移動します。
  2. [アプリを追加] をクリックして、カスタム SAML アプリを追加します。
  3. [アプリの詳細] ページで、以下の手順に従います。

カスタム アプリ名

カスタム アプリの名前 (例: SAP Concur) を入力します。

(任意) アプリ アイコンのアップロード

アプリ アイコンは、[ウェブ アプリとモバイル アプリ] 一覧、アプリの設定ページ、およびアプリ ランチャに表示されます。アイコンをアップロードしない場合は、アプリ名の最初の 2 文字を使用してアイコンが作成されます。

  1. [続行] をクリックします。
  2. [Google ID プロバイダの詳細] ページで、IDP メタデータをダウンロードするオプションを使用して、サービス プロバイダが必要とする

設定情報を取得します。

  1. (任意) 別のブラウザ タブまたはウィンドウで、サービス プロバイダにサイン インし、ステップ 4 で入力した情報を適切な SSO 構成ページにコピーしてから、管理コンソールに戻ります。
  2. [続行] をクリックします。
  3. [サービス プロバイダの詳細] ウィンドウで、アプリの以下の ACS URL およびエンティティ ID を入力します。

ACS URL

US (北米): https://www-us.api.concursolutions.com/sso/saml2/V1/ acs/

EMEA: https://www-emea.api.concursolutions.com/sso/saml2/ V1/acs/

中国: https://www-cn.api.concurcdc.cn/ sso/saml2/V1/acs/

エンティティ ID

US (北米): https://us.api.concursolutions.com/saml2 EMEA: https://emea.api.concursolutions.com/saml2

中国: https://cn.api.concurcdc.cn/saml2

  1. 既定の [名前 ID] は第一メールです。複数値入力はサポートされていません。
  2. [完了] をクリックします。

ステップ 3: SAML アプリをオンに設定

  1. Google 管理コンソールにサイン インします。

 注記

(スーパー管理者権限を持つアカウント (@gmail.com などで終わらないアカウント) を使用してサイン インします)。

  1. 管理コンソールのホーム ページから、[ウェブアプリとモバイルアプリ] に移動します。
  2. SAML アプリを選択します。
  3. [ユーザー アクセス] をクリックします。
  4. 組織のサービスの可用性を切り替えるには、 全員に対して [オン] または全員に対して [オフ] をクリックしてから、[保存] をクリックします。
  5. (任意) 組織部門に対してサービスをオンまたはオフにするには、以下の手順に従います。左側で [組織部門] を選択します。

[サービスのステータス] を変更するには、[オン] または [オフ] を選択します。 以下のいずれかを選択します。

[サービスのステータス] が [継承] に設定されており、更新された設定を保持する場合は、親設定が変更された場合であっても [上書き] をクリックします。

[サービスのステータス] が [上書きされました] に設定されている場合は、[継承] をクリックして親と同じ設定に戻すか、[保存] をクリックして親の設定が変更された場合であっても新しい設定を保持します。

  1. 組織部門全体または組織部門内のユーザー セットに対してサービスをオンにするには、アクセス グループを選択します。詳細については、本書の

ユーザー グループへのアクセス付与を参照してください。

  1. SAML アプリにサイン インするためにユーザーが使用するメール アドレスが、Google ドメインへのサイン インに使用するメール アドレスと一致していることを確認します。通常、変更は数分で行われますが、最大 24 時間かかる場合があります。

 注記

現在、Google Workspace ではアサーションの暗号化はサポートされていません。これに関する詳細情報が必要な場合は、IDP サポートに連絡してください。

ステップ 4: SAP Concur サイトの構成

  1. [準備] セクションに記載されているステップに従って、[SSO の管理] ページに再度移動します。
  2. [IdP メタデータ] セクションで [追加] をクリックします。[IdP メタデータの追加] ウィンドウが表示されます。
  3. IdP 接続にフレンドリ名を付けて、それを [カスタムIdP 名] フィールドに入力します。
  4. ユーザーがサイン アウトした際にほかの場所にリダイレクトされるように [ログアウト URL] (任意) を入力します。

既定では、URL が入力されない場合、ユーザーは認証プロセスを開始した場所にリダイレクトされます。Google Workspace のログアウト エンドポイントは、[アプリケーションおよびリソース] > [テナント設定] > [アイデンティティ プロバイダ設定]

> [シングル ログアウト エンドポイント] で確認することができます。

 注記

シングル ログアウト (SLO) は SAP Concur で正式にはサポートされていないため、SLO エンドポイントでのログアウト プロセスは、SAP Concur に加えて IDP からユーザーを切断することに関しては、SLO エンドポイントを使用するログアウト プロセスは期待どおりに動作しない可能性があります。そのような場合、ユーザーは SAP Concur からはログアウトされますが、Google Workspace からは完全にログアウトされないことがあります。

  1. [IdP のメタデータのアップロード] セクションで、[XML ファイルのアップロード] をクリックし、IdP から以前にローカルに保存されたメタデータ ファイルをアップロードします。
  2. モバイルでサインイン オプションを非表示にし、concursolutions.com からサインインするには、[この SSO オプションを、Web またはモバイルから Concur にサインインするユーザーに対して非表示にする] チェックボックスを選択します。

既定では、このオプションは、ユーザーが concursolutions.com またはモバイル アプリから SP-initiated サインインを開始するときに、ユーザーに表示されます。このオプションは、ユーザーに IdP-initiated フローからサインインするように求める場合に非表示にすることができます。

英語のみ

  1. [メタデータの追加] をクリックします。
  2. 正常に追加されたか、問題が発生しましたというメッセージが表示されます。

英語のみ

英語のみ

2 番目の問題 (上記) のヘルプについては、SAP Concur Support に連絡し、相関 ID を提供してください。

上記のステップ 3 で、SP-initiated フロー (SAP Concur のパブリックサイトを経由: https://www.concursolutions.com/nui/signin) を使用する場合は、ユーザーが [ユーザー名] を提供し、[次へ] を押すとすぐに、 カスタム IdP 名が [サインイン] ページに表示されます (以下のイメージを参照) 。たとえば、[カスタム IdP 名] が "Google SSO" の場合、以下に示すように、すべてのユーザーにオプション [Google SSO でサインイン] が表示されます。

英語のみ

SSO ログインのテスト

前のステップで IdP メタデータが SAP Concur に正常にアップロードされると、SSO のテストを開始できます。IdP-Initiated (アイデンティティ プロバイダ側で開始される) フローとSP-Initiated (サービス プロバイダ側で開始される) フローをテストします。

  1. IdP-Initiated SSO のテスト

IdP-Initiated フローでは、アイデンティティ プロバイダでログイン プロセスを開始します。これをテストするために、構築したアプリケーションから Google Workspace の SSO エンドポイントにパラメーターを追加することができます。

IdP-Initiated URL の例:

形式: https://accounts.google.com/o/saml2/initsso? idpid=CLIENT_IDP_ID&spid=SERVICE_PROVIDER_ID&forceauthn=false

例: https://accounts.google.com/o/saml2/initsso?idpid=C03j4v82&spid=710982774547&forceauthn=false

 注記

CLIENT_IDP_ID および SERVICE_PROVIDER_ID に、Google Workspace の値を入力する必要があります。これは、アプリケーションの [SAML ログインのテスト] ボタンから URL をコピーして取得できるものです。

  1. SP-Initiated SSO のテスト

SP-initiated フローをテストするには、SAP Concur ログイン ページを開く必要があります。

US DC 本稼動: https://www.concursolutions.com/

US DC テスト: https://implementation.concursolutions.com/

EMEA DC Prod: https://eu1.concursolutions.com/ EMEA DC Test: https://eu1imp.concursolutions.com/ CN DC Prod: https://www.concurcdc.cn/

ログイン ページでユーザー名、確認済みメール アドレス、または SSO コードを追加して続行できます。[次へ] をクリックすると、最近作成した SSO 構成のオプションが表示されます。そのオプションをクリックし、Google アカウントへの認証に進むことができます。その後、Google アカウントから SAP Concur にリダイレクトされます。

モバイル シングル サインオン (SSO)

SAMLv2 プラットフォームで作成された SSO 構成の場合、モバイル SSO はメタデータが保存されるとすぐに自動的に有効になります。ただし、このオプションが機能するには、SP-Initiated フローが機能している必要があります。これは、本ガイドの "SSO ログインのテスト" セクションで検証できます。

モバイル アプリで SSO の認証に問題がある場合は、SAP Concur Support チームにチケットを作成し、表示されたエラー ID やメッセージを提供してください。

別の IdP を使用していて、モバイル SSO をすでに使用している場合は、サインインを試みると次の 2 つのオプションが表示されます。

英語のみ

[モバイル SSO でサインイン] オプションにより以前の IdP リンクが埋め込まれるため、ユーザーは以前の SSO 接続にリダイレクトされます。いずれの場合も、SAP Concur Support チームにチケットを作成し、以下の情報を提供してください。

ユーザーが以前の (従来の) バージョンを使用する予定の場合は、サポートが従来のアプリ バージョンに対してモバイル SSO を有効化できるように、Google Workspace 側で構築されたアプリケーションの IdP-Initiated URL を提供してください。URL の取得方法の詳細については、本ガイドの ʻSSO ログインのテスト > IdP-Initiated SSO のテスト’ セクションを参照してください。

ユーザーを混乱させないために [モバイル SSO でサインイン] オプションを削除する場合、サポート チームにご連絡ください。

モバイル アプリで SSO の認証に問題がある場合は、SAP Concur Support チームにチケットを作成し、表示されたエラー ID やメッセージをスクリーンショットとともに提供してください。

メール通知

備忘メールに SSO URL を反映する構成は、SAP Concur Support が完了する必要のある変更です。続行するには、SAP Concur Support チームにチケットを作成し、サポート チームがメールのリダイレクト URL を調整できるように、IDP 側で構築されたアプリケーションの IDP URL を提供します。URL の取得方法の詳細については、本ガイドの SSO ログインのテスト > IdP-Initiated SSO のテスト セクションを参照してください。

URL は [レポートの表示] ボタンに埋め込まれて表示されます。

この変更は変更後に生成されたメールにのみ反映されます。変更前に生成されたすべてのメールは以前の URL を引き続き使用します。

この変更は更新後 4 時間以内に有効になります。

英語のみ

[レポートの表示] ボタンにカーソルを合わせると、現在埋め込まれている URL が表示されます。URL は語句 “ctedeepurl=” と “&hpo=” の間に表示されます。

展開

新しい SSO 構成をテストしたら、このアクセスが必要なすべてのユーザーおよびグループに Google Workspace アプリケーションを割り当てることで、展開の計画を立てることができます。

[SSO の管理] ページでは、SSO 設定を [SSO 任意] から [SSO 必須] に変更することで、この新しい SSO 接続を強制するオプションも提供されます。この設定を変更する場合、ユーザーは SP-initiated フローからユーザー名を提供するだけで Concur にリダイレクトされるようになります。

英語のみ

過去の変更を表示

この機能は、[SSO の管理] ページで完了したすべての変更を管理者が追跡できるようにするために開発されました。現時点までに行われた SSO 構成への変更を表示するには、[過去の変更を表示] ボタンをクリックします。

英語のみ

以前の変更がリストされた表が表示され、日付と時刻の降順で並べ替えられています。

英語のみ

テーブルには、過去に行われた 100 件の変更が表示されます。テーブルにリストされる変更内容としては、以下のようなものが含まれます。

構成の追加

構成の削除

[カスタム IdP 名]、[ログアウト URL]、または [非表示] フィールドの編集

テーブルに一覧表示されている特定の変更に関する詳細情報を表示するには、目的のリスト項目の [表示] リンクをクリックします。

英語のみ

各ログの内部では、[会社] および [変更者] フィールドが [名姓] [(UUID コード)] 形式で表示されます。これは、そのようなアクションを行ったユーザーを意味します。そのユーザーに見覚えがない場合は常に、サポートに問い合わせて、詳細をリクエストすることができます。

構成が削除されている場合、[過去の変更を表示] に [復元] ボタンが含まれているため、削除された構成を元に戻すことができます。構成が復元されると、この構成をサインイン プロセス中にユーザーが使用できるようになります。

英語のみ

詳細情報: 詳細については、以下の文書リソースを参照してください。

SAP Concur - SSO Overview Guide

SAP Help Portal - SAP Single Sign-On

付録 - Idaptive の設定

 注記

このセクションに記載された付録の説明については、内容がサード パーティー プロバイダから提供されているため、SAP Concur では正確性を保証することはできません。問題が発生した場合、サード パーティー プロバイダのサポート リソースにお問い合わせください。

はじめに

構成プロセスを開始する前に、以下の点を確認します。

Idaptive と SAP Concur の両方にユーザーが存在している必要があります。SAP Concur は現在、自動ユーザー プロビジョニングをサポートしていないため、別途ユーザーを追加する必要があります。

Idaptive から送信する属性が、SAP Concur の各従業員の [ログイン ID] (ユーザー名/CTE ログイン名) フィールドと一致しています。

SAP Concur アカウントに SSO マネージャー権限が割り当てられている必要があります。これにより、[シングル サインオンの管理] ページにアクセスすることができます。

SAP Concur アカウントに法人管理者 (Travel の権限) が割り当てられている必要があります。権限を取得したら、SAP Concur のエディションに応じて、以下のいずれかのパスを使用して [SSO の管理] ページにアクセスできます。

SAP Concur Standard Edition の場合:

  1. [管理] > [経費の設定] に移動します。

英語のみ

  1. [Concur にアクセス] セクションで、[1 つの詳細設定を表示] をクリックします。

英語のみ

  1. [シングル サインオンの管理] をクリックして、[SSO の管理] ページにアクセスします。

英語のみ

SAP Concur Professional Edition の場合:

  1. [管理] > [会社] > [認証管理] に移動します。

英語のみ

  1. [シングル サインオンの管理] をクリックして、[SSO の管理] ページにアクセスします。

英語のみ

または、以下のいずれかの URL を使用して、ページにアクセスすることができます。

US DC 本稼動: https://www.concursolutions.com/nui/authadmin/ssoadmin

US DC テスト: https://implementation.concursolutions.com/nui/authadmin/ssoadmin EMEA DC 本稼動: https://eu1.concursolutions.com/nui/authadmin/ssoadmin

EMEA DC テスト: https://eu1imp.concursolutions.com/nui/authadmin/ssoadmin CN DC 本稼動: https://www.concurcdc.cn/nui/authadmin/ssoadmin

 注記

権限を取得しておらず、自分のプロファイルに割り当てることもできない場合は、会社のサポート問合せ権限の保持者に依頼し、SAP Concur Support までお問い合わせください。

Idaptive アプリケーションの構成

ステップ 1: Idaptive アプリの作成

  1. Idaptive の管理者用ホーム ページから、[Web Apps] をクリックします。
  2. [Add Web Apps] をクリックします。

英語のみ

  1. Concur を検索します。
  2. [SAML + Provisioning] オプションの横にある [Add] をクリックします。ポップアップが表示されたら、そのポップアップを閉じます。

英語のみ

  1. Concur のアプリケーション構成で、[Trust] をクリックします。
  2. [Metadata] オプションを選択します。
  3. [Download Metadata File] をクリックします (後で SAP Concur へのメタデータのアップロード時に使用するため)。

英語のみ

  1. [Service Provider Configuration] セクションまで下にスクロールします。
  2. SAP Concur メタデータを開き、[Entity ID] 値をコピーして、[SP Entity ID / SP Issuer/ Audience ] フィールドにペーストします。
  3. メタデータから場所の値をコピーし、[Assertion Consumer Service (ACS) URL] に貼り付けます。
  4. 受信者に対して [Same as ACS URL] オプションが選択されていることを確認します。
  5. [NameID Format] フィールドでは、これは SAP Concur ログイン ID と一致する必要があります。SAP Concur ログイン ID がメール アドレスと同じ形式である場合は [emailAddress] を選択しますが、SAP Concur ログイン ID の形式 (例: employeeid@companydomain.com) に応じて別のオプションを選択します。ログイン ID の形式がメール アドレスとは異なる場合でも、SAML 応答の NameID 形式はメール アドレス形式である必要があります。

英語のみ

  1. [Save] をクリックします。
  2. [Permissions] をクリックします。
  3. SAP Concur アプリにアクセスする必要があるグループ/ユーザーを追加し、 [Save] をクリックします。

英語のみ

SAP Concur サイトの構成

  1. [概要] セクションに記載されているステップに従って、[SSO の管理] ページに移動します。
  2. [IdP メタデータ] セクションで [追加] をクリックします。[IdP メタデータの追加] ウィンドウが表示されます。
  3. IdP 接続に適切な名前を入力し、その名前を [カスタム IdP 名] フィールドに入力します。

 注記

SP-initiated フロー (SAP Concur のパブリック サイトを経由: https://www.concursolutions.com/nui/signin) を使用する場合、ユーザーがユーザー名を入力し、[次へ] をクリックするとすぐに [カスタム IdP 名] が [サインイン] ページに表示されます。

  1. [IdP のメタデータのアップロード] セクションで、[XML ファイルのアップロード] をクリックし、IdP からメタデータ ファイルをアップロードします。
  2. モバイルでサインイン オプションを非表示にし、concursolutions.com からサインインするには、[この SSO オプションを、Web またはモバイルから Concur にサインインするユーザーに対して非表示にする] チェックボックスを選択します。

既定では、このオプションは、ユーザーが concursolutions.com またはモバイル アプリから SP-initiated サインインを開始するときに、ユーザーに表示されます。このオプションは、ユーザーに IdP-initiated フローからサインインするように求める場合に非表示にすることができます。

  1. [メタデータの追加] をクリックします。
  2. 追加の成功を示す確認メッセージまたは問題の発生を示すメッセージが表示されます。後者の場合は、SAP Concur Support に連絡し、相関 ID を提供してください。

英語のみ

英語のみ

SSO ログインのテスト

IdP-initiated SSO のテスト

Idaptive から SSO ログインをテストするには、テストを行うユーザーやグループに Idaptive で構成した新しいアプリケーションを必ず割り当てている必要があります。

これが完了したら、Idaptive でアカウントにログインし、SAP Concur アプリケーションを検索することができます。このアプリケーションでは、すでにログインしている SAP Concur のアカウントにリダイレクトされます。

SP-initiated SSO のテスト

SP-initiated SSO をテストするには:

  1. テストを行う環境に応じた SAP Concur ログイン ページを開きます。 US DC 本稼動: https://www.concursolutions.com/

US DC テスト: https://implementation.concursolutions.com/ EMEA DC 本稼動: https://eu1.concursolutions.com/

EMEA DC テスト: https://eu1imp.concursolutions.com/ CN DC 本稼動: https://www.concurcdc.cn/

ログイン ページでユーザー名、確認済みメール アドレス、または SSO コードを追加して続行できます。[次へ] をクリックすると、SAP Concur サイトの構成の注記のとおり、最近作成した SSO 構成のオプションが表示されます。クリックして、SAP Concur にリダイレクトするアイデンティティ プロバイダ アカウントの認証を続行します。

英語のみ

英語のみ

SSO 資格情報を追加した後にエラー メッセージが表示された場合、構成が完了していない可能性があることを示しています。SAP Concur 側のエラー メッセージの場合、資格情報が一致しない、証明書が無効である、または設定が指定されていないという問題である可能性があります。

IdP-Initiated ログインは機能していても、SP-Initiated が機能していない場合、Idaptive 側の名前 ID が適切な形式で (メール アドレス) で送信されていない可能性があります。

問題が解決しない場合、SAP Concur Support に問い合わせ、表示されたエラー ID を提供してください。

モバイル シングル サインオン (SSO)

SAMLv2 プラットフォームで作成された SSO 構成の場合、モバイル SSO はメタデータが保存されるとすぐに自動的に有効になります。ただし、このオプションが機能するには、SP-Initiated フローが機能している必要があります。これは、前述の SSO ログインのテスト セクションを使用して検証することができます。

 注記

モバイル SSO の自動有効化は、アプリのバージョンが 9.86 以降であり、かつ、ユーザーが新しいサインイン操作を選択している場合のみ表示されます。このオプションは旧バージョンのユーザー、または以前のサインイン操作を選択しているユーザーには自動的に非表示になります。

[モバイル SSO でサインイン] オプションにより以前の IdP リンクが埋め込まれるため、ユーザーは以前の SSO 接続にリダイレクトされます。いずれの場合も、SAP Concur Support チームにチケットを作成し、次の情報を提供してください。

ユーザーが以前のバージョンを使用する予定の場合、当該アプリ バージョンにモバイル SSO を有効化できるように、Idaptive 側で作成したアプリケーションの IdP-Initiated URL を SAP Concur Support に提供してください。URL の取得方法の詳細については、本ガイドの SSO ログインのテスト > IdP-Initiated SSO のテスト セクションを参照してください。

混乱する可能性を排除するために [モバイル SSO でサインイン] オプションを削除する場合、サポート チームにご連絡ください。

モバイル アプリで SSO を使用する認証時に問題がある場合、SAP Concur Support チームにチケットを作成し、表示されたエラー ID やメッセージをスクリーンショットと一緒に提供してください。

メール通知

SSO URL を反映するための備忘メールの構成は、SAP Concur Support が完了する必要がある変更です。続行するには、SAP Concur Support チームにチケットを作成し、備忘メールのリダイレクト URL を調整できるように、IDP 側で作成されたアプリケーションからの IDP URL を入力してください。URL の取得方法の詳細については、この付録の SSO ログインのテスト > IdP-Initiated SSO のテスト セクションを参照してください。

展開

新しい SSO 構成をテストしたら、このアクセスが必要なすべてのユーザーおよびグループに新しい Idaptive アプリケーションを割り当てることで、展開の計画を立てることができます。

[SSO の管理] ページでは、SSO 設定を [SSO 任意] から [SSO 必須] に変更することで、この新しい SSO 接続を強制するオプションも提供されます。変更すると、ユーザーは SP-initiated フローを介してユーザー名を提供することで SAP Concur にリダイレクトされるようになります。

英語のみ

モバイル SSO のみを強制する必要がある場合は、SAP Concur Support までお問い合わせください。

付録 - Okta の設定

 注記

このセクションに記載された付録の説明については、内容がサード パーティー プロバイダから提供されているため、SAP Concur では正確性を保証することはできません。問題が発生した場合、サード パーティー プロバイダのサポート リソースにお問い合わせください。

はじめに

構成プロセスを開始する前に、以下の点を確認します。

アイデンティティ プロバイダ (Okta) への管理アクセス権が必要です。これは Okta 側でアプリケーションの構成を完了するために必要になります。

Okta と SAP Concur の両方にユーザーが存在している必要があります。SAP Concur は現在、自動ユーザー プロビジョニングをサポートしていないため、別途ユーザーを追加する必要があります。

Okta から送信する属性が、SAP Concur の各従業員の [ログイン ID] (ユーザー名/CTE ログイン名) フィールドと一致しています。

SAP Concur アカウントに SSO マネージャー権限が割り当てられている必要があります。これにより、[シングル サインオンの管理] ページにアクセスすることができます。

SAP Concur アカウントに法人管理者 (Travel の権限) が割り当てられている必要があります。権限を取得したら、SAP Concur のエディションに応じて、以下のいずれかのパスを使用して [SSO の管理] ページにアクセスできます。

SAP Concur Standard Edition の場合:

  1. [管理] > [経費の設定] に移動します。

英語のみ

  1. [Concur にアクセス] セクションで、[1 つの詳細設定を表示] をクリックします。

英語のみ

  1. [シングル サインオンの管理] をクリックして、[SSO の管理] ページにアクセスします。

英語のみ

SAP Concur Professional Edition の場合:

  1. [管理] > [会社] > [認証管理] に移動します。

英語のみ

  1. [シングル サインオンの管理] をクリックして、[SSO の管理] ページにアクセスします。

英語のみ

または、以下のいずれかの URL を使用して、ページにアクセスすることができます。

US DC 本稼動: https://www.concursolutions.com/nui/authadmin/ssoadmin

US DC テスト: https://implementation.concursolutions.com/nui/authadmin/ssoadmin EMEA DC 本稼動: https://eu1.concursolutions.com/nui/authadmin/ssoadmin

EMEA DC テスト: https://eu1imp.concursolutions.com/nui/authadmin/ssoadmin CN DC 本稼動: https://www.concurcdc.cn/nui/authadmin/ssoadmin

 注記

権限を取得しておらず、自分のプロファイルに割り当てることもできない場合は、会社のサポート問合せ権限の保持者に依頼し、SAP Concur Support までお問い合わせください。

Okta アプリケーションの構成

ステップ 1: SAP Concur メタデータの取得 構成するには:

  1. SAP Concur メタデータを取得します。これを完了するには、 [概要] セクションの指示に従って SAP Concur アカウントにログインし、 [SSO の管理] セクションにアクセスします。[SSO の管理] ページで SAP Concur メタデータを取得するには、[URL をコピー] をクリックしてから新しいブラウザ タブにその URL を貼り付けるか、[ダウンロード] をクリックしてダウンロードしたファイルを開きます。

英語のみ

ステップ 2: Okta でのアプリケーションの作成

  1. まず、Okta に管理者アカウントでログインして、以下の操作を行います。
  2. 上部の [Applications] をクリックして、新しいアプリケーションの作成を開始します。ギャラリーにある既定の SAP Concur アプリケーションは誤ったエンドポイントをポイントする可能性があることから、既定の SAP Concur アプリケーションは Okta で使用しないでください。

英語のみ

  1. [SAML 2.0] を選択します。
  2. 構成の名前を入力してから、 [Create] をクリックします。

英語のみ

  1. [App Name] を入力し、ロゴ (任意) を選択してから、[Next] をクリックします。

英語のみ

  1. SAP Concur メタデータを開き、スクロール ダウンして Location= を探します。その URL 値をコピーして Okta アプリケーションの [シングル サインオン URL] フィールドに貼り付けます。

英語のみ

英語のみ

  1. SAP Concur メタデータに戻り、上部で entityID= を探します。その URL をコピーして、Okta アプリケーションの [オーディエンス URI] (SP エンティティ ID) フィールドに貼り付けます。

英語のみ

英語のみ

ステップ 3: 名前 ID 構成

アプリケーションの構成時に、[名前 ID] を構成する必要があります。[名前 ID] は、SAP Concur で従業員に対して登録された [ログイン ID] ([CTE ログイン名]) と一致する必要があります。[名前 ID] の形式は、[EmailAddress] に設定することを強くお奨めします。

英語のみ

これは concursolutions.com またはモバイル アプリから開始する SP-Initiated ログインを行うために SAP Concur で必要になります。

場合によっては、指定可能なアプリケーションのユーザー名は SAP Concur のユーザー名と一致しないことがあります。このような場合、SAP Concur で従業員インポートを実行し、ユーザー名が送信する属性と一致しているかどうかを確かめることができます。または、Okta の製品サポートに連絡し、名前 ID 構成のサポートを要請することができます。

英語のみ

SAML アサーションを暗号化する場合、ステップ 4 の説明に従ってください。不要な場合は、ステップ 5 に進みます。

ステップ 4: (任意) アプリケーションの暗号化

  1. SAP Concur メタデータに戻り、下にスクロールしてタグ use=”Encryption” を見つけます。X509 証明書をコピーして、以下のように、それをテキスト ファイル (メモ帳など) の 2 つの BEGIN/END CERTIFICATE 行の間に貼り付けます。

英語のみ

英語のみ

  1. このファイルを .crt 形式で保存します。

英語のみ

  1. Okta アプリケーションで、ハイパーリンクの [Show Advanced Settings] をクリックします。

英語のみ

  1. [Assertion Encryption] を [Encrypted] に変更し、保存した暗号化証明書ファイルを参照します。

英語のみ

  1. このファイルがアップロードされると、[Encryption Certificate] に以下の情報が表示されます。

英語のみ

ステップ 5: 構成の終了

  1. [Help Okta Support]のフィードバック セクションで、[I’m an Okta customer adding an internal app] を選択します。
  2. 最下部までスクロールし、[Finish] をクリックします。

英語のみ

ステップ 6: メタデータ ファイルのダウンロード

SAP Concur 側で構成を完了するには、Okta のアプリケーションから抽出したメタデータ ファイルをアップロードします。

  1. [Sign On] 設定ページで、[View Setup Instructions] の近くにある [Identity Provider metadata] をクリックします。

英語のみ

  1. ブラウザでメタデータ xml が自動的にダウンロードされない場合は、メタデータのあるタブを右クリックして .xml として保存してください。

英語のみ

SAP Concur サイトの構成

  1. [概要] セクションに記載されているステップに従って、[SSO の管理] ページに移動します。
  2. [IdP メタデータ] セクションで [追加] をクリックします。
  3. IdP 接続に適切な名前を入力し、その名前を [カスタム IdP 名] フィールドに入力します。

 注記

SP-initiated フロー (SAP Concur のパブリック サイトを経由: https://www.concursolutions.com/nui/signin) を使用する場合、ユーザーがユーザー名を入力し、[次へ] をクリックするとすぐに [カスタム IdP 名] が [サインイン] ページに表示されます。たとえば、[カスタム IdP 名] が "Okta SSO [Encrypted]" の場合は、すべてのユーザーに [OktaSSO [Encrypted] でサインイン] オプションが表示されます。

英語のみ

英語のみ

  1. ユーザーがログアウトした際にほかの場所にリダイレクトされるように [ログアウト URL] (任意) を入力します。既定では、URL が入力されない場合、ユーザーは認証プロセスを開始した場所にリダイレクトされます。Okta のログアウト エンドポイントは、[Local Provider] > [Identity Provider Settings] > [Single Log-Out Service (SLO)] > [Endpoint URL] で確認できます。

 注記

シングル ログアウト (SLO) は SAP Concur で正式にはサポートされていないため、SLO エンドポイントでのログアウト プロセスは、SAP Concur に加えて IDP からユーザーを切断することに関しては、SLO エンドポイントを使用するログアウト プロセスは期待どおりに動作しない可能性があります。そのような場合、ユーザーは SAP Concur からログアウトされますが、Okta からは完全にログアウトされないことがあります。

  1. [IdP のメタデータのアップロード] セクションで、[XML ファイルのアップロード] をクリックし、IdP から以前にローカルに保存されたメタデータ ファイルをアップロードします。
  2. モバイルでサインイン オプションを非表示にし、concursolutions.com からサインインするには、[この SSO オプションを、Web またはモバイルから Concur にサインインするユーザーに対して非表示にする] チェックボックスを選択します。

既定では、このオプションは、ユーザーが concursolutions.com またはモバイル アプリから SP-initiated サインインを開始するときに、ユーザーに表示されます。このオプションは、ユーザーに IdP-initiated フローからサインインするように求める場合に非表示にすることができます。

  1. [メタデータの追加] をクリックします。
  2. 追加の成功を示す確認メッセージまたは問題の発生を示すメッセージが表示されます。後者の場合は、SAP Concur Support に連絡し、相関 ID を提供してください。

英語のみ

英語のみ

SSO ログインのテスト

前述のステップで IdP メタデータが SAP Concur に正常にアップロードされると、SSO のテストを開始できます。このセクションでは、IdP-Initiated (アイデンティティ プロバイダ側で開始される) フローおよび SP-Initiated (サービス プロバイダ側で開始される) フローをテストすることができます。

IdP-initiated SSO のテスト

IdP-initiated SSO をテストするには:

  1. IdP-Initiated フローで、アイデンティティ プロバイダ側でログイン プロセスを開始します。テストを行うには、Okta アカウントにログインしてアプリケーションに移動し、先ほど構成した新しい SAP Concur アプリを参照するタイルを検索します。そのタイルをクリックし、SAPConcurプロファイルに直接リダイレクトされるかどうかを確認します。

英語のみ

アプリケーションの [SSO] タブに移動し、[Embedded URL] フィールドを使用してテストすることもできます。https://companydomain.okta.com/home/concur/xxxxxxxxxx/xxx のように表示されます。

SP-initiated SSO のテスト

SP-initiated SSO をテストするには:

  1. テストを行う環境に応じた SAP Concur ログイン ページを開きます。

US DC 本稼動: https://www.concursolutions.com/

US DC テスト: https://implementation.concursolutions.com/ EMEA DC 本稼動: https://eu1.concursolutions.com/

EMEA DC テスト: https://eu1imp.concursolutions.com/ CN DC 本稼動: https://www.concurcdc.cn/

ログイン ページでユーザー名、確認済みメール アドレス、または SSO コードを追加して続行できます。[次へ] をクリックすると、SAP Concur サイトの構成の注記のとおり、最近作成した SSO 構成のオプションが表示されます。クリックして、SAP Concur にリダイレクトするアイデンティティ プロバイダ アカウントの認証を続行します。

モバイル シングル サインオン (SSO)

SAMLv2 プラットフォームで作成された SSO 構成の場合、モバイル SSO はメタデータが保存されるとすぐに自動的に有効になります。ただし、このオプションが機能するには、SP-Initiated フローが機能している必要があります。これは、前述の SSO ログインのテスト セクションを使用して検証することができます。

 注記

モバイル SSO の自動有効化は、アプリのバージョンが 9.86 以降であり、かつ、ユーザーが新しいサインイン操作を選択している場合のみ表示されます。このオプションは旧バージョンのユーザー、または以前のサインイン操作を選択しているユーザーには自動的に非表示になります。ただし、別の IdP を使用していて、かつ、モバイル SSO をすでに使用している場合は、サインインを試みると次の 2 つのオプションが表示されます。

英語のみ

[モバイル SSO でサインイン] オプションにより以前の IdP リンクが埋め込まれるため、ユーザーは以前の SSO 接続にリダイレクトされます。いずれの場合も、SAP Concur Support チームにチケットを作成し、次の情報を提供してください。

ユーザーが以前のバージョンを使用する予定の場合、当該アプリ バージョンにモバイル SSO を有効化できるように、Okta 側で作成したアプリケーションの IdP-Initiated URL を SAP Concur Support に提供してください。URL の取得方法の詳細については、本ガイドの SSO ログインのテスト > IdP-Initiated SSO のテスト セクションを参照してください。

混乱する可能性を排除するために [モバイル SSO でサインイン] オプションを削除する場合、サポート チームにご連絡ください。

モバイル アプリで SSO を使用する認証時に問題がある場合、SAP Concur Support チームにチケットを作成し、表示されたエラー ID やメッセージをスクリーンショットと一緒に提供してください。

メール通知

SSO URL を反映するための備忘メールの構成は、SAP Concur Support が完了する必要がある変更です。続行するには、SAP Concur Support チームにチケットを作成し、備忘メールのリダイレクト URL を調整できるように、IDP 側で作成されたアプリケーションからの IDP URL を入力してください。URL の取得方法の詳細については、この付録の SSO ログインのテスト > IdP-Initiated SSO のテスト セクションを参照してください。

 注記

URL は [レポートの表示] ボタンに埋め込まれて表示されます。

 注記

この変更は変更後に生成されたメールにのみ反映されます。変更前に生成されたすべてのメールは以前の URL を引き続き使用します。

 注記

この変更は更新後 4 時間以内に有効になります。

英語のみ

[レポートの表示] ボタンにカーソルを合わせると、現在埋め込まれている URL が表示されます。URL は、

語句 ctedeepurl= と &hpo= の間に表示されます。

英語のみ

展開

新しい SSO 構成をテストしたら、このアクセスが必要なすべてのユーザーおよびグループに新しい Okta アプリケーションを割り当てることで、展開の計画を立てることができます。

[SSO の管理] ページでは、SSO 設定を [SSO 任意] から [SSO 必須] に変更することで、この新しい SSO 接続を強制するオプションも提供されます。変更すると、ユーザーは SP-initiated フローを介してユーザー名を提供することで SAP Concur にリダイレクトされるようになります。

英語のみ

過去の変更を表示

この機能は、[SSO の管理] ページで完了したすべての変更を管理者が追跡できるようにするために開発されました。現時点までに行われた SSO 構成への変更を表示するには、[過去の変更を表示] をクリックします。

英語のみ

以前の変更がリストされた表が表示され、日付と時刻の降順で並べ替えられています。テーブルには、過去に行われた 100 件の変更が表示されます。テーブルにリストされる変更内容としては、以下のようなものが含まれます。

構成の追加

構成の削除

[カスタム IdP 名]、[ログアウト URL]、または [非表示] フィールドの編集

テーブルに一覧表示されている特定の変更に関する詳細情報を表示するには、目的のリスト項目の [表示] リンクをクリックします。

各ログの内部では、[会社] および [変更者] フィールドが [first_name last_name] [(UUID code)] 形式で表示されます。これは、そのアクションを行ったユーザーを参照しています。そのユーザーに見覚えがない場合、サポートに問い合わせて、詳細をリクエストすることができます。

付録: PingOne の設定

 注記

このセクションに記載された付録の説明については、内容がサード パーティー プロバイダから提供されているため、SAP Concur では正確性を保証することはできません。問題が発生した場合、サード パーティー プロバイダのサポート リソースにお問い合わせください。

はじめに

この付録では、PingOne で新しいアプリケーションを作成し、新しい SAMLv2 プラットフォームで SAP Concur サイトにこの新しい構成をアップロードする方法を示します。

構成プロセスを開始する前に、以下の点を確認します。

PingOne と SAP Concur の両方にユーザーが存在している必要があります。

PingOne から送信する属性が SAP Concur の各従業員の [ログイン ID] (ユーザー名/CTE ログイン名) フィールドと一致しています。

SAP Concur アカウントに SSO マネージャー権限が割り当てられている必要があります。これにより、[シングル サインオンの管理] ページにアクセスすることができます。

SAP Concur アカウントに法人管理者 (companyadmin、Travel の権限) が割り当てられている必要があります。権限を取得したら、SAP Concur のエディションに応じて、以下のいずれかのパスを使用して [SSO の管理] ページにアクセスできます。

SAP Concur Standard Edition の場合:

  1. [管理] > [経費の設定] に移動します。

英語のみ

  1. [Concur にアクセス] セクションで、[1 つの詳細設定を表示] をクリックします。

英語のみ

  1. [シングル サインオンの管理] をクリックして、[SSO の管理] ページにアクセスします。

英語のみ

SAP Concur Professional Edition の場合:

  1. [管理] > [会社] > [認証管理] に移動します。

英語のみ

  1. [シングル サインオンの管理] をクリックして、[SSO の管理] ページにアクセスします。

英語のみ

または、以下のいずれかの URL を使用して、ページにアクセスすることができます。

US DC 本稼動: https://www.concursolutions.com/nui/authadmin/ssoadmin

US DC テスト: https://implementation.concursolutions.com/nui/authadmin/ssoadmin EMEA DC 本稼動: https://eu1.concursolutions.com/nui/authadmin/ssoadmin

EMEA DC テスト: https://eu1imp.concursolutions.com/nui/authadmin/ssoadmin CN DC 本稼動: https://www.concurcdc.cn/nui/authadmin/ssoadmin

 注記

権限を取得しておらず、自分のプロファイルに割り当てることもできない場合は、会社のサポート問合せ権限の保持者に依頼し、SAP Concur Support までお問い合わせください。

PingOne アプリケーションの構成

ステップ 1: 非ギャラリー SAML アプリケーションの作成 構成するには:

  1. PingOne 管理者アカウントにログインし、[Applications] タブに移動します。
  2. [Add Application] > [ New SAML Application] をクリックします。

英語のみ

ステップ 2: アプリケーションの詳細

  1. 必要に応じてアプリケーションの詳細を入力してから、 [Continue to Next Step]をクリックします。

英語のみ

ステップ 3: アプリケーションの構成

このステップを完了するには、SAP Concur アカウントにログインし、概要のリンクを使用して [SSO の管理] セクションにアクセスします。

  1. [SSO の管理] にアクセスした後は、メタデータの URL を取得するために [URL をコピー] をクリックするか、メタデータの XML ファイルをダウンロードするために [ダウンロード] をクリックして、SAP Concur メタデータを取得することができます。

英語のみ

  1. ブラウザを使用して、メタデータの URL または XML ファイルを開きます。PingOne ではメタデータ ファイルのアップロードがサポートされているため、[Upload Metadata] に移動して xml ファイルをロードすることができます。または、[または URL を使用] をクリックして、メタデータ URL を追加することもできます。

英語のみ

XML ファイルまたは URL からメタデータが読み込まれると、以下のフィールドは自動的に入力されます。

Assertion Customer Service (ACS) Entity ID

Primary Verification Certificate Encrypt Assertion (チェックボックス) Encryption Algorithm

Encryption Certificate Transport Algorithm

Signing ([Sign Assertion] から [Sign Response] に変更)

英語のみ

  1. [Encrypt Assertion] は任意の設定です。トラブルシューティングの目的で SAML アサーションを追跡する場合は、このチェックボックスの選択を解除してから、[Continue to the Next Step] をクリックします。

ステップ 4: 属性の対応付け

属性の対応付けのセクションに移動したら、検証のために SAP Concur に送信される属性を構築する必要があります。この属性は、SAP Concur の従業員の [ログイン ID] フィールドと一致する必要があります。

  1. 新しい属性を追加するには、[Add new attribute] をクリックします。

英語のみ

Ping のメール アドレスが SAP Concur [ログイン ID] フィールドに一致している場合は、以下のような属性を構築できます。

英語のみ

SAP Concur の [ログイン ID] が異なる構造を備えている場合は、[SSO Attribute Mapping] の [Advanced settings] を開いて、カスタム属性を構成する必要があります。Ping により、このカスタマイズに役立つ 記事が Ping のコミュニティで作成されています。

ステップ 5: ユーザー グループへのアクセス付与

[Group Access] の画面が表示されます。このアプリケーションにユーザー グループを追加します。SAP Concur 従業員全員が含まれていることを確認し、[Continue to Next Step] をクリックします。

英語のみ

ステップ 6: 確認して終了する

アプリケーション構成を確認します。その後、後で SAP Concur にアップロードできるように、構成から SAML メタデータをダウンロードします。

[Finish] をクリックして、構成を終了します。

英語のみ

SAP Concur サイトの構成

  1. [概要] セクションに記載されているステップに従って、[SSO の管理] ページに移動します。
  2. [IdP メタデータ] セクションで [追加] をクリックします。[IdP メタデータの追加] ウィンドウが表示されます。
  3. IdP 接続に適切な名前を入力し、その名前を [カスタム IdP 名] フィールドに入力します。

 注記

SP-initiated SSO の場合、ユーザーがユーザー名を入力して [次へ] をクリックするとすぐに [カスタム IdP 名] が [サインイン] ページに表示されます。

  1. [IdP のメタデータのアップロード] セクションで、[XML ファイルのアップロード] をクリックし、IdP からメタデータ ファイルをアップロードします。
  2. モバイルでサインイン オプションを非表示にし、concursolutions.com からサインインするには、[この SSO オプションを、Web またはモバイルから Concur にサインインするユーザーに対して非表示にする] チェックボックスを選択します。

既定では、このオプションは、ユーザーが concursolutions.com またはモバイル アプリから SP-initiated サインインを開始するときに、ユーザーに表示されます。このオプションは、ユーザーに IdP-initiated フローからサインインするように求める場合に非表示にすることができます。

  1. [メタデータの追加] をクリックします。

メタデータが正常に追加されると、新しい構成のテストを開始できます。

SSO ログインのテスト

前述のステップで IdP メタデータが SAP Concur に正常にアップロードされると、SSO のテストを開始できます。このセクションでは、IdP-Initiated (アイデンティティ プロバイダ側で開始される) フローおよび SP-Initiated (サービス プロバイダ側で開始される) フローをテストすることができます。

IdP-initiated SSO のテスト IdP-initiated SSO をテストするには:

  1. 最近作成したアプリケーションを開きます。[シングル サインオン (SSO) 開始 URL] および[シングル サインオン] リンクで、

[シングル サインオン] ページが開きます。

英語のみ

SP-Initiated SSO のテスト

SP-initiated SSO をテストするには:

  1. テストを行う環境に応じた SAP Concur ログイン ページを開きます。 US DC 本稼動: https://www.concursolutions.com/

US DC テスト: https://implementation.concursolutions.com/

EMEA DC 本稼動: https://eu1.concursolutions.com/

EMEA DC テスト: https://eu1imp.concursolutions.com/ CN DC 本稼動: https://www.concurcdc.cn/

  1. ログイン ページでユーザー名、確認済みメール アドレス、または SSO コードを追加して続行できます。[次へ] をクリックすると、最近作成した SSO 構成のオプションが表示されます。SSO 認証のオプションをクリックして、SAP Concur のプロファイルにリダイレクトする PingOne 資格情報の認証を続行します。

PingOne 資格情報の追加後に PingOne エラー メッセージが表示された場合、構成が未完了になっているか、不足しているものがある可能性があります。IdP-Initiated ログインは機能していても、SP-Initiated が機能していない場合は、名前 ID の形式が問題となっている可能性が高くなります。名前 ID の形式が適切であることを確認するには、PingOne アプリケーションの作成の属性の対応付けステップに記載されているように SAML_SUBJECT が [メール] に設定されているかどうかを確認してください。

モバイル シングル サインオン (SSO)

SAMLv2 プラットフォームで作成された SSO 構成の場合、モバイル SSO はメタデータが保存されるとすぐに自動的に有効になります。ただし、このオプションが機能するには、SP-Initiated フローが機能している必要があります。これは、前述の SSO ログインのテスト セクションを使用して検証することができます。

 注記

モバイル SSO の自動有効化は、アプリのバージョンが 9.86 以降であり、かつ、ユーザーが新しいサインイン操作を選択している場合のみ表示されます。このオプションは旧バージョンのユーザー、または以前のサインイン操作を選択しているユーザーには自動的に非表示になります。

モバイル アプリで SSO を使用する認証時に問題がある場合、SAP Concur Support チームにチケットを作成し、表示されたエラー ID やメッセージをスクリーンショットと一緒に提供してください。

メール通知

SSO URL を反映するための備忘メールの構成は、SAP Concur Support が完了する必要がある変更です。続行するには、SAP Concur Support チームにチケットを作成し、備忘メールのリダイレクト URL を調整できるように、IDP 側で作成されたアプリケーションからの IDP URL を入力してください。URL の取得方法の詳細については、この付録の SSO ログインのテスト > IdP-Initiated SSO のテスト セクションを参照してください。

展開

新しい SSO 構成をテストしたら、このアクセスが必要なすべてのユーザーおよびグループに新しいアプリケーションを割り当てることで、展開の計画を立てることができます。

[SSO の管理] ページでは、SSO 設定を [SSO 任意] から [SSO 必須] に変更することで、この新しい SSO 接続を強制するオプションも提供されます。変更すると、ユーザーは SP-initiated フローを介してユーザー名を提供することで SAP Concur にリダイレクトされるようになります。

モバイル SSO のみを強制する必要がある場合は、SAP Concur Support までお問い合わせください。

英語のみ

ログの例:

View Previous Changes

0

Date Changed Change Company

Change By

06/07/2022

Add

Entity ID Name Logout URL

Hidden

Metadata

英語のみ

英語のみ

構成が削除されている場合、この構成を復元するための [復元] ボタンが [過去の変更を表示] ページに表示されます。構成が復元されると、この構成をサインイン プロセス中にユーザーが使用できるようになります。

英語のみ

付録 - SAP Cloud Identity Services - Identity Authentication Service (SAP IAS) の設定

はじめに

構成プロセスを開始する前に、以下の点を確認します。

アイデンティティ プロバイダ (SAP IAS) への管理アクセス権があり、SAP IAS 側でアプリケーション構成を完了することができる。 Viewing Assigned Tenants and Administrators 文書で、会社が所有するテナントと管理者を検索する方法を確認できます。

SAP IAS と SAP Concur の両方に自分のユーザーが存在している必要があります。ユーザー統合のために、SAP Concur ではフラット ファイルのインポートおよび API がサポートされています。SAP 製品との統合のために、SAP は SAP Cloud Identity Service Identity Provisioning に基づいて自動化されたユーザー プロビジョニングを提供しています。

詳細: SAP Help Portal で SAP Concur 統合シナリオを参照してください。

SAP IAS から [Subject Name Identifier] として送信する属性が SAP Concur の各従業員の [ログイン ID] (ユーザー名/CTE ログイン名) フィールドと一致しています。

SAP Concur アカウントに SSO マネージャー権限が割り当てられている必要があります。これにより、[シングル サインオンの管理] ページにアクセスすることができます。

SAP Concur アカウントに法人管理者 (Travel の権限) が割り当てられている必要があります。権限を取得したら、SAP Concur のエディションに応じて、以下のいずれかのパスを使用して [SSO の管理] ページにアクセスできます。

SAP Concur Standard Edition の場合:

  1. [管理] > [経費の設定] に移動します。

英語のみ

  1. [Concur にアクセス] セクションで、[1 つの詳細設定を表示] をクリックします。

英語のみ

  1. [シングル サインオンの管理] をクリックして、[SSO の管理] ページにアクセスします。

英語のみ

SAP Concur Professional Edition の場合:

  1. [管理] > [会社] > [認証管理] に移動します。

英語のみ

  1. [シングル サインオンの管理] をクリックして、[SSO の管理] ページにアクセスします。

英語のみ

または、以下のいずれかの URL を使用して、ページにアクセスすることができます。

US DC 本稼動: https://www.concursolutions.com/nui/authadmin/ssoadmin

US DC テスト: https://implementation.concursolutions.com/nui/authadmin/ssoadmin EMEA DC 本稼動: https://eu1.concursolutions.com/nui/authadmin/ssoadmin

EMEA DC テスト: https://eu1imp.concursolutions.com/nui/authadmin/ssoadmin CN DC 本稼動: https://www.concurcdc.cn/nui/authadmin/ssoadmin

 注記

権限を取得しておらず、自分のプロファイルに割り当てることもできない場合は、会社のサポート問合せ権限の保持者に依頼し、SAP Concur Support までお問い合わせください。

SAP IAS アプリケーションの構成

ステップ 1: SAP Concur メタデータの取得 構成するには:

  1. SAP Concur メタデータを入手します。これを完了するには、前述の概要セクションの説明に従って SAP Concur アカウントにログインし、

[SSO の管理] セクションにアクセスします。[SSO の管理] ページで SAP Concur メタデータを取得するには、

[URL をコピー] をクリックしてから新しいブラウザ タブにその URL を貼り付けるか、[ダウンロード] をクリックしてダウンロードしたファイルを開きます。

英語のみ

ステップ 2: SAP IAS でのアプリケーションの作成

  1. SAP IAS でアプリケーションを作成します。SAP IAS にログイン後、[Applications & Resources] >

[Applications] にアクセスする必要があります。

英語のみ

  1. これにより、作成されたすべてのアプリケーションがリスト表示されます。[+Add] をクリックして新規アプリケーションを追加します。

英語のみ

  1. 名前を入力し、[Save] をクリックします。
  2. これが SAML (Security Assertion Markup Language) 構成になるため、[SAML 2.0 Configuration] にアクセスする必要があります。

英語のみ

  1. 前述のステップですでに、SAP Concur のメタデータ ファイルをダウンロードするか URL をコピーしているため、[Browse] をクリックし [Metadata File] を入力することでファイルをアップロードするか、[Metadata URL] に URL を入力できます。

英語のみ

  1. ファイルのアプロード後、SAP IAS はメタデータからすべての値を取り出し、それに応じてフィールドに入力する必要があります。次に、[Save] をクリックします。

英語のみ

ステップ 3: [Subject Name Identifier] の変更

既定の Subject Name Identifier は User ID です。

英語のみ

これは、SAP Concur のユーザーの [ログイン ID] (ユーザー名/CTE ログイン名) に基づいて更新する必要があります。

ユーザーのメール アドレスが SAP Concur でログオン ID として使用される場合は、[Basic Configuration ] セクションの [Select a basic attribute] ドロップダウンで [Email ] を構成する必要があります。

英語のみ

ユーザーのログイン名 (ユーザー名) がメール形式で、Concur でログオン ID として使用される場合は、[Basic Configuration] セクションの [Select a basic attribute] ドロップダウンで [Login Name] を構成する必要があります。

英語のみ

SAP Concur のログイン ID がどのユーザー属性とも一致しないものの、一部のユーザー属性に基づいて構成され、サフィックスが静的ドメインである場合は、[Advanced Configuration] を使用して、手順アプリケーションに送信される Subject Name Identifier の構成に従って、そのユーザー属性から値を作成することができます。

英語のみ

ステップ 4: [Default Name ID Format] の変更

アプリケーションの構成完了後、名前 ID を構成する必要があります。名前 ID は、Concur で従業員に登録したログイン ID (CTE ログイン名) と一致する必要があります。また、名前 ID の形式をメール アドレスに設定することを強くお奨めします。これは concursolutions.com またはモバイル アプリから開始する SP-Initiated ログインを行うために SAP Concur で必要になります。[Default Name ID Format] は [Unspecified] であるため、[Default Name ID Format] をクリックして変更します。

英語のみ

[Email] を選択したら、[Save] をクリックします。

英語のみ

場合によっては、これは SAP Concur のユーザー名と一致しないことがあります。このような場合、SAP Concur で従業員インポートを実行し、ユーザー名が送信する属性と一致しているかどうかを確かめることができます。または、SAP IAS の製品サポートに連絡し、名前 ID 構成のサポートを要請することができます。

ステップ 5: メタデータのダウンロード

SAP Concur 側で構成を完了するには、SAP IAS のアプリケーションから抽出したメタデータ ファイルをアップロードします。これを行うには、[Applications & Resources] > [Tenant Settings] > [SAML 2.0 Configuration] に移動します。

英語のみ

これで [Identity Provider Settings] 画面が表示されます。この画面では構成を見直し、[Download Metadata File] を選択することができます。

英語のみ

これでメタデータ ファイルを SAP Concur にアップロードする用意が整いました。

SAP Concur サイトの構成

  1. [概要] セクションに記載されているステップに従って、[SSO の管理] ページに移動します。
  2. [IdP メタデータ] セクションで [追加] をクリックします。[IdP メタデータの追加] ウィンドウが表示されます。
  3. IdP 接続に適切な名前を入力し、その名前を [カスタム IdP 名] フィールドに入力します。

 注記

SP-initiated フロー (SAP Concur のパブリック サイトを経由: https://www.concursolutions.com/nui/signin) を使用する場合、ユーザーがユーザー名を入力し、[次へ] をクリックするとすぐに [カスタム IdP 名] が [サインイン] ページに表示されます。たとえば、[カスタム IdP 名] が [SAP IAS] の場合、すべてのユーザーに [SAP IAS でサインイン] オプションが表示されます。

英語のみ

英語のみ

  1. ユーザーがログアウトした際にほかの場所にリダイレクトされるように [ログアウト URL] (任意) を入力します。既定では、URL が入力されない場合、ユーザーは認証プロセスを開始した場所にリダイレクトされます。SAP IAS のログアウト エンドポイントからは、[Applications & Resources] > [Tenant Settings] > [Identity Provider Settings] > [Single Logout Endpoint] で確認できます。シングル ログアウト (SLO) は SAP Concur で正式にはサポートされていないため、SLO エンドポイントでのログアウト プロセスは、SAP Concur に加えて IDP からのユーザーの接続解除に関して想定どおりに機能しない可能性があることに注意してください。そのような場合、ユーザーは SAP Concur からログアウトされますが、SAP IAS からは完全にログアウトされないことがあります。
  2. [IdP のメタデータのアップロード] セクションで、[XML ファイルのアップロード] をクリックし、IdP からメタデータ ファイルをアップロードします。
  3. モバイルでサインイン オプションを非表示にし、concursolutions.com からサインインするには、[この SSO オプションを、Web またはモバイルから Concur にサインインするユーザーに対して非表示にする] チェックボックスを選択します。
  4. 既定では、このオプションは、ユーザーが concursolutions.com またはモバイル アプリから SP-initiated サインインを開始するときに、ユーザーに表示されます。このオプションは、ユーザーに IdP-initiated フローからサインインするように求める場合に非表示にすることができます。
  5. [メタデータの追加] をクリックします。
  6. 追加の成功を示す確認メッセージまたは問題の発生を示すメッセージが表示されます。後者の場合は、SAP Concur Support に連絡し、相関 ID を提供してください。

英語のみ

英語のみ

SSO ログインのテスト

前述のステップで IdP メタデータが SAP Concur に正常にアップロードされると、SSO のテストを開始できます。このセクションでは、IdP-Initiated (アイデンティティ プロバイダ側で開始される) フローおよび SP-Initiated (サービス プロバイダ側で開始される) フローをテストすることができます。

IdP-Initiated SSO のテスト

IdP-initiated SSO をテストするには:

  1. IdP-Initiated フローで、アイデンティティ プロバイダ側でログイン プロセスを開始します。テストを行うには、先ほど作成したアプリケーションのパラメーターを SAP IAS の SSO エンドポイントに付加します。IdP-Initiated URL の形式の例は次のようになります。

形式: [テナント名*]?saml2sp=[SP 識別子**]

例: https://adg0duqpi.accounts400.ondemand.com/saml2/idp/sso?sp=https://us-impl.api.concursolutions.com/saml2

*テナント名: [Applications & Resources] > [Tenant Settings] に移動します。

**SP 識別子: SAP Concur メタデータから入手できます。エンティティ ID またはオーディエンスと同じです。

 注記

SAP IAS には異なる 5 つの環境がありますが、お客様に関連があるのは PROD 環境 (*.accounts.ondemand.com) のみです。

英語のみ

この URL は SAP IAS 側のログイン ページにリダイレクトします。資格情報を使用してログインすると、SAP Concur ホームページにリダイレクトされます。

SP-Initiated SSO のテスト

SP-initiated SSO をテストするには:

  1. テストを行う環境に応じた SAP Concur ログイン ページを開きます。

US DC 本稼動: https://www.concursolutions.com/

US DC テスト: https://implementation.concursolutions.com/ EMEA DC 本稼動: https://eu1.concursolutions.com/

EMEA DC テスト: https://eu1imp.concursolutions.com/ CN DC 本稼動: https://www.concurcdc.cn/

ログイン ページでユーザー名、確認済みメール アドレス、または SSO コードを追加して続行できます。[次へ] をクリックすると、SAP Concur サイトの構成の注記のとおり、最近作成した SSO 構成のオプションが表示されます。クリックして、SAP Concur にリダイレクトするアイデンティティ プロバイダ アカウントの認証を続行します。

モバイル シングル サインオン (SSO)

SAMLv2 プラットフォームで作成された SSO 構成の場合、モバイル SSO はメタデータが保存されるとすぐに自動的に有効になります。ただし、このオプションが機能するには、SP-Initiated フローが機能している必要があります。これは、前述の SSO ログインのテスト セクションを使用して検証することができます。

 注記

モバイル SSO の自動有効化は、アプリのバージョンが 9.86 以降であり、かつ、ユーザーが新しいサインイン操作を選択している場合のみ表示されます。このオプションは旧バージョンのユーザー、または以前のサインイン操作を選択しているユーザーには自動的に非表示になります。ただし、別の IdP を使用していて、かつ、モバイル SSO をすでに使用している場合は、サインインを試みると次の 2 つのオプションが表示されます。

英語のみ

[モバイル SSO でサインイン] オプションにより以前の IdP リンクが埋め込まれるため、ユーザーは以前の SSO 接続にリダイレクトされます。いずれの場合も、SAP Concur Support チームにチケットを作成し、次の情報を提供してください。

ユーザーが以前のバージョンを使用する予定の場合、当該アプリ バージョンにモバイル SSO を有効化できるように、SAP NetWeaver 側で作成したアプリケーションの IdP-Initiated URL を SAP Concur Support に提供してください。URL の取得方法の詳細については、本ガイドの SSO ログインのテスト > IdP-Initiated SSO のテスト セクションを参照してください。

混乱する可能性を排除するために [モバイル SSO でサインイン] オプションを削除する場合、サポート チームにご連絡ください。

モバイル アプリで SSO を使用する認証時に問題がある場合、SAP Concur Support チームにチケットを作成し、表示されたエラー ID やメッセージをスクリーンショットと一緒に提供してください。

メール通知

SSO URL を反映するための備忘メールの構成は、SAP Concur Support が完了する必要がある変更です。続行するには、SAP Concur Support チームにチケットを作成し、備忘メールのリダイレクト URL を調整できるように、IDP 側で作成されたアプリケーションからの IDP URL を入力してください。URL の取得方法の詳細については、この付録の SSO ログインのテスト > IdP-Initiated SSO のテスト セクションを参照してください。

 注記

URL は [レポートの表示] ボタンに埋め込まれて表示されます。

 注記

この変更は変更後に生成されたメールにのみ反映されます。変更前に生成されたすべてのメールは以前の URL を引き続き使用します。

 注記

この変更は更新後 4 時間以内に有効になります。

英語のみ

[レポートの表示] ボタンにカーソルを合わせると、現在埋め込まれている URL が表示されます。URL は、

語句 ctedeepurl= と &hpo= の間に表示されます。

英語のみ

展開

新しい SSO 構成をテストしたら、このアクセスが必要なすべてのユーザーおよびグループに新しい SAP IAS アプリケーションを割り当てることで、展開の計画を立てることができます。

[SSO の管理] ページでは、SSO 設定を [SSO 任意] から [SSO 必須] に変更することで、この新しい SSO 接続を強制するオプションも提供されます。変更すると、ユーザーは SP-initiated フローを介してユーザー名を提供することで SAP Concur にリダイレクトされるようになります。

英語のみ

過去の変更を表示

この機能は、[SSO の管理] ページで完了したすべての変更を管理者が追跡できるようにするために開発されました。現時点までに行われた SSO 構成への変更を表示するには、[過去の変更を表示] をクリックします。

以前の変更がリストされた表が表示され、日付と時刻の降順で並べ替えられています。テーブルには、過去に行われた 100 件の変更が表示されます。テーブルにリストされる変更内容としては、以下のようなものが含まれます。

構成の追加

構成の削除

[カスタム IdP 名]、[ログアウト URL]、または [非表示] フィールドの編集

テーブルに一覧表示されている特定の変更に関する詳細情報を表示するには、目的のリスト項目の [表示] リンクをクリックします。

英語のみ

各ログの内部では、[会社] および [変更者] フィールドが [first_name last_name] [(UUID code)] 形式で表示されます。これは、そのアクションを行ったユーザーを参照しています。そのユーザーに見覚えがない場合、サポートに問い合わせて、詳細をリクエストすることができます。

ログの例:

英語のみ

英語のみ

構成が削除されている場合、この構成を復元するための [復元] ボタンが [過去の変更を表示] ページに表示されます。構成が復元されると、この構成をサインイン プロセス中にユーザーが使用できるようになります。

詳細: 次の文書リソースを参照してください。

SAP Concur - SSO Overview Guide

SAP Help Portal - SAP Cloud Identity Services - Identity Authentication

SAP KBA - 2701851 - SAP Cloud Platform Identity Authentication Service (IAS) - Guided Answers

付録 - SAP NetWeaver の設定

概要

構成プロセスを開始する前に、以下の点を確認します。

アイデンティティ プロバイダ (SAP NetWeaver) への管理者アクセス権が必要です。これは SAP NetWeaver 側でアプリケーションの構成を完了するために必要になります。

SAP NetWeaver と SAP Concur の両方にユーザーが存在している必要があります。SAP Concur は現在、自動ユーザー プロビジョニングをサポートしていないため、別途ユーザーを追加する必要があります。

SAP NetWeaver から送信する属性が SAP Concur の各従業員の [ログイン ID] (ユーザー名/CTE ログイン名) フィールドと一致しています。

SAP Concur アカウントに SSO マネージャー権限が割り当てられている必要があります。これにより、[シングル サインオンの管理] ページにアクセスすることができます。

SAP Concur アカウントに法人管理者 (Travel の権限) が割り当てられている必要があります。権限を取得したら、SAP Concur のエディションに応じて、以下のいずれかのパスを使用して [SSO の管理] ページにアクセスできます。

SAP Concur Standard Edition の場合:

  1. [管理] > [経費の設定] に移動します。

英語のみ

  1. [Concur にアクセス] セクションで、[1 つの詳細設定を表示] をクリックします。

英語のみ

  1. [シングル サインオンの管理] をクリックして、[SSO の管理] ページにアクセスします。

英語のみ

SAP Concur Professional Edition の場合:

  1. [管理] > [会社] > [認証管理] に移動します。

英語のみ

  1. [シングル サインオンの管理] をクリックして、[SSO の管理] ページにアクセスします。

英語のみ

または、以下のいずれかの URL を使用して、ページにアクセスすることができます。

https://www.concursolutions.com/nui/authadmin/ssoadmin

US DC テスト: https://implementation.concursolutions.com/nui/authadmin/ssoadmin EMEA DC 本稼動: https://eu1.concursolutions.com/nui/authadmin/ssoadmin

EMEA DC テスト: https://eu1imp.concursolutions.com/nui/authadmin/ssoadmin CN DC 本稼動: https://www.concurcdc.cn/nui/authadmin/ssoadmin

 注記

権限を取得しておらず、自分のプロファイルに割り当てることもできない場合は、会社のサポート問合せ権限の保持者に依頼し、SAP Concur Support までお問い合わせください。

SAP NetWeaver アプリケーションの構成

ステップ 1: SAP Concur メタデータの取得 構成するには:

  1. SAP Concur メタデータを入手します。これを完了するには、概要セクションの説明に従って SAP Concur アカウントにログインし、

[SSO の管理] セクションにアクセスします。[SSO の管理] ページで SAP Concur メタデータを取得するには、[URL をコピー] をクリックしてから新しいブラウザ タブにその URL を貼り付けるか、[ダウンロード] をクリックしてダウンロードしたファイルを開きます。

英語のみ

ステップ 2: SAP NetWeaver でアプリケーションの作成

  1. SAP NetWeaver でアプリケーションを作成します。SAP NetWeaver にアクセスしたら、[設定] タブにアクセスする必要があります。

英語のみ

  1. [設定] タブで、[認証およびシングルサインオン] をクリックします。

英語のみ

  1. これは SAML (Security Assertion Markup Language) 構成になります。[SAML 2.0] タブをクリックします。

英語のみ

  1. SAP Concur アプリケーションの作成を開始するには、[認証されたプロバイダ] をクリックします。

英語のみ

  1. [認証されたプロバイダ] セクションには、SAP NetWeaver テナントに接続された既存のすべてのサービス プロバイダが表示されます。新しいアプリケーションを追加するには、[追加] をクリックします。1 つ目のステップで SAP Concur メタデータ ファイルをすでにダウンロードしているため、[メタデータファイルのアップロード] オプションをクリックします。

英語のみ

  1. [参照] をクリックして、お使いのコンピュータでメタデータ ファイルを探し、[次] をクリックします。

英語のみ

  1. その後、ステップ 2 ([メタデータ検証]) およびステップ 3 ([プロバイダ選択]) がグレー表示され、自動的にスキップされます。メタデータから適切な識別子 (エンティティ ID) が自動的に入力されるため、[次] をクリックしてステップ 4 ([プロバイダ名]) をスキップすることもできます。

ステップ 5 ([署名と暗号化]) では、変更せずに [次] をクリックできます。ただし、アサーションや 名前 ID リクエストと応答を暗号化する場合、暗号化が有効化されるように [暗号化エレメント] フィールドを調整する必要があります。次に、[次] を再度クリックします。

英語のみ

ステップ 6 ([シングルサインオンエンドポイント]) は、メタデータ xml から取得した適切な ACS URL が自動的に入力されるため、スキップすることができます。[終了] をクリックできるようになるまで、ステップ 7 ([シングルログアウトエンドポイント])、ステップ 8 ([アーティファクトエンドポイント])、およびステップ 9 ([名前 ID 管理エンドポイント]) も同様にスキップできます。

英語のみ

ステップ 3: 名前 ID 構成

アプリケーションの構成完了後、名前 ID を構成する必要があります。名前 ID は、SAP Concur で従業員に登録したログイン ID (CTE ログイン名) と一致する必要があります。また、名前 ID の形式をメール アドレスに設定することを強くお奨めします。これは concursolutions.com またはモバイル アプリから開始する SP-Initiated ログインを行うために SAP Concur で必要になります。

  1. 名前 ID 形式を設定するには、新しいアプリケーションを検索してクリックし、次に [編集] をクリックします。

英語のみ

  1. [名前 ID の書式] ポップアップで、必ず [電子メール] を選択します。[ソース名] に SAP Concur の従業員のログイン ID と一致する属性を入力します。

英語のみ

  1. 場合によっては、指定可能なソース名は SAP Concur のユーザー名と一致しないことがあります。このような場合、SAP Concur で従業員インポートを実行し、ユーザー名が送信する属性と一致しているかどうかを確かめることができます。または、SAP NetWeaver の製品サポートに連絡し、名前 ID 構成のサポートを要請することができます。

ステップ4: アプリケーションの有効化

名前 ID を構成したら、[SAML 2.0] タブに戻ることができます。新しいアプリケーションを選択して、[有効化] をクリックします。これにより [有効] 列のアイコンが緑の四角に変わり、アプリケーションが有効であることを示します。

英語のみ

ステップ 5: メタデータ ファイルのダウンロード

SAP Concur 側で構成を完了するには、SAP Netweaver のアプリケーションから抽出したメタデータ ファイルをアップロードします。[SAML 2.0] タブで [ローカルプロバイダ] に移動し、[メタデータダウンロード] をクリックしてメタデータ xml をダウンロードします。

英語のみ

SAP Concur サイトの構成

  1. [概要] セクションに記載されているステップに従って、[SSO の管理] ページに移動します。
  2. [IdP メタデータ] セクションで [追加] をクリックします。[IdP メタデータの追加] ウィンドウが表示されます。
  3. IdP 接続に適切な名前を入力し、その名前を [カスタム IdP 名] フィールドに入力します。

 注記

SP-initiated フロー (SAP Concur のパブリック サイトを経由: https://www.concursolutions.com/nui/signin) を使用する場合、ユーザーがユーザー名を入力し、[次へ] をクリックするとすぐに [カスタム IdP 名] が [サインイン] ページに表示されます。たとえば、カスタム IdP 名が [SAP NW] の場合、すべてのユーザーに [SAP NW でサインイン] オプションが表示されます。

英語のみ

英語のみ

  1. ユーザーがログアウトした際にほかの場所にリダイレクトされるように [ログアウト URL] (任意) を入力します。既定では、URL が入力されない場合、ユーザーは認証プロセスを開始した場所にリダイレクトされます。SAP NetWeaver のログアウト エンドポイントは [ローカルプロバイダ] > [アイデンティティプロバイダ設定] > [シングルログアウトサービス (SLO)] > [エンドポイント URL] で確認できます。シングル ログアウト (SLO) は SAP Concur で正式にはサポートされていないため、SLO エンドポイントでのログアウト プロセスは、SAP Concur に加えて IDP からのユーザーの接続解除に関して想定どおりに機能しない可能性があることに注意してください。そのような場合、ユーザーは SAP Concur からログアウトされますが、SAP NetWeaver からは完全にログアウトされない場合があります。
  2. [IdP のメタデータのアップロード] セクションで、[XML ファイルのアップロード] をクリックし、IdP から以前にローカルに保存されたメタデータ ファイルをアップロードします。
  3. モバイルでサインイン オプションを非表示にし、concursolutions.com からサインインするには、[この SSO オプションを、Web またはモバイルから Concur にサインインするユーザーに対して非表示にする] チェックボックスを選択します。

既定では、このオプションは、ユーザーが concursolutions.com またはモバイル アプリから SP-initiated サインインを開始するときに、ユーザーに表示されます。このオプションは、ユーザーに IdP-initiated フローからサインインするように求める場合に非表示にすることができます。

  1. [メタデータの追加] をクリックします。
  2. 追加の成功を示す確認メッセージまたは問題の発生を示すメッセージが表示されます。後者の場合は、SAP Concur Support に連絡し、相関 ID を提供してください。

英語のみ

英語のみ

SSO ログインのテスト

前述のステップで IdP メタデータが SAP Concur に正常にアップロードされると、SSO のテストを開始できます。このセクションでは、IdP-Initiated (アイデンティティ プロバイダ側で開始される) フローおよび SP-Initiated (サービス プロバイダ側で開始される) フローをテストすることができます。

IdP-initiated SSO のテスト

IdP-initiated SSO をテストするには:

  1. IdP-Initiated フローで、アイデンティティ プロバイダ側でログイン プロセスを開始します。テストを行うには、先ほど作成したアプリケーションのパラメーターを SAP NetWeaver の SSO エンドポイントに付加します。IdP-Initiated URL の形式の例は次のようになります。

形式: [SSO エンドポイント URL*]?saml2sp=[SP 識別子**]

例: https://idp.example.com:50001/saml2/idp/sso?saml2sp=https://us.api.concursolutions.com/saml2

**SP 識別子: この値は SAP Concur メタデータから取得できます。エンティティ ID またはオーディエンスと同じです。

*SSO エンドポイント URL: [SAML 2.0] > [Local Provider] > [Identity Provider Settings] > [Single Sign-On Service (SSO)] > [Endpoint URL] のパスからこの値を入力できます。

英語のみ

この URL は SAP NetWeaver 側のログイン ページにダイレクトします。資格情報を使用してログインすると、SAP Concur ホームページにリダイレクトされます。

SP-initiated SSO のテスト

SP-initiated SSO をテストするには:

  1. テストを行う環境に応じた SAP Concur ログイン ページを開きます。 US DC 本稼動: https://www.concursolutions.com/

US DC テスト: https://implementation.concursolutions.com/ EMEA DC 本稼動: https://eu1.concursolutions.com/

EMEA DC テスト: https://eu1imp.concursolutions.com/ CN DC 本稼動: https://www.concurcdc.cn/

ログイン ページでユーザー名、確認済みメール アドレス、または SSO コードを追加して続行できます。[次へ] をクリックすると、SAP Concur サイトの構成の注記のとおり、最近作成した SSO 構成のオプションが表示されます。クリックして、SAP Concur にリダイレクトするアイデンティティ プロバイダ アカウントの認証を続行します。

モバイル シングル サインオン (SSO)

SAMLv2 プラットフォームで作成された SSO 構成の場合、モバイル SSO はメタデータが保存されるとすぐに自動的に有効になります。ただし、このオプションが機能するには、SP-Initiated フローが機能している必要があります。これは、前述の SSO ログインのテスト セクションを使用して検証することができます。

 注記

モバイル SSO の自動有効化は、アプリのバージョンが 9.86 以降であり、かつ、ユーザーが新しいサインイン操作を選択している場合のみ表示されます。このオプションは旧バージョンのユーザー、または以前のサインイン操作を選択しているユーザーには自動的に非表示になります。ただし、別の IdP を使用していて、かつ、モバイル SSO をすでに使用している場合は、サインインを試みると次の 2 つのオプションが表示されます。


英語のみ

[モバイル SSO でサインイン] オプションにより以前の IdP リンクが埋め込まれるため、ユーザーは以前の SSO 接続にリダイレクトされます。いずれの場合も、SAP Concur Support チームにチケットを作成し、次の情報を提供してください。

ユーザーが以前のバージョンを使用する予定の場合、当該アプリ バージョンにモバイル SSO を有効化できるように、SAP NetWeaver 側で作成したアプリケーションの IdP-Initiated URL を SAP Concur Support に提供してください。URL の取得方法の詳細については、本ガイドの SSO ログインのテスト > IdP-Initiated SSO のテスト セクションを参照してください。

混乱する可能性を排除するために [モバイル SSO でサインイン] オプションを削除する場合、サポート チームにご連絡ください。

モバイル アプリで SSO を使用する認証時に問題がある場合、SAP Concur Support チームにチケットを作成し、表示されたエラー ID やメッセージをスクリーンショットと一緒に提供してください。

メール通知

SSO URL を反映するための備忘メールの構成は、SAP Concur Support が完了する必要がある変更です。続行するには、SAP Concur Support チームにチケットを作成し、備忘メールのリダイレクト URL を調整できるように、IDP 側で作成されたアプリケーションからの IDP URL を入力してください。URL の取得方法の詳細については、この付録の SSO ログインのテスト > IdP-Initiated SSO のテスト セクションを参照してください。

 注記

URL は [レポートの表示] ボタンに埋め込まれて表示されます。

 注記

この変更は変更後に生成されたメールにのみ反映されます。変更前に生成されたすべてのメールは以前の URL を引き続き使用します。

 注記

この変更は更新後 4 時間以内に有効になります。

英語のみ

[レポートの表示] ボタンにカーソルを合わせると、現在埋め込まれている URL が表示されます。URL は、

語句 ctedeepurl= と &hpo= の間に表示されます。

英語のみ

展開

新しい SSO 構成をテストしたら、このアクセスが必要なすべてのユーザーおよびグループに新しい SAP NetWeaver アプリケーションを割り当てることで、展開の計画を立てることができます。

[SSO の管理] ページでは、SSO 設定を [SSO 任意] から [SSO 必須] に変更することで、この新しい SSO 接続を強制するオプションも提供されます。変更すると、ユーザーは SP-initiated フローを介してユーザー名を提供することで SAP Concur にリダイレクトされるようになります。

英語のみ

過去の変更を表示

この機能は、[SSO の管理] ページで完了したすべての変更を管理者が追跡できるようにするために開発されました。現時点までに行われた SSO 構成への変更を表示するには、[過去の変更を表示] をクリックします。

以前の変更がリストされた表が表示され、日付と時刻の降順で並べ替えられています。テーブルには、過去に行われた 100 件の変更が表示されます。テーブルにリストされる変更内容としては、以下のようなものが含まれます。

構成の追加

構成の削除

[カスタム IdP 名]、[ログアウト URL]、または [非表示] フィールドの編集

テーブルに一覧表示されている特定の変更に関する詳細情報を表示するには、目的のリスト項目の [表示] リンクをクリックします。

英語のみ

各ログの内部では、[会社] および [変更者] フィールドが [first_name last_name] [(UUID code)] 形式で表示されます。これは、そのアクションを行ったユーザーを参照しています。そのユーザーに見覚えがない場合、サポートに問い合わせて、詳細をリクエストすることができます。

ログの例:

英語のみ

英語のみ

構成が削除されている場合、この構成を復元するための [復元] ボタンが [過去の変更を表示] ページに表示されます。構成が復元されると、この構成をサインイン プロセス中にユーザーが使用できるようになります。

詳細情報: 詳細については、以下の文書リソースを参照してください。

SAP Concur - SSO Overview Guide

SAP Help Portal - SAP Single Sign-On

SAP Help Portal - Configuring AS Java as a Service Provider

SAP Help Portal - Identity Provider Implementation Guide (HTML)

付録 - Google Workspace の設定

概要

構成プロセスを開始する前に、以下を確認してください。

アイデンティティ プロバイダ (Google Workspace) への管理アクセス権が必要です。これは、Google Workspace 側でアプリケーション構成を完了するために必要となります。

Google Workspace と SAP Concur の両方にユーザーが存在している必要があります。Concur は現在、自動ユーザー プロビジョニングをサポートしていないため、別途ユーザーを追加する必要があります。

Google Workspace から送信する属性が、SAP Concur の各従業員の [ログインID] (ユーザー名/CTE ログイン名) フィールドと一致しています。

SAP Concur アカウントに SSO マネージャー権限が割り当てられている必要があります。これにより、[シングル サインオンの管理] ページにアクセスすることができます。

SAP Concur アカウントに法人管理者 (Travel の権限) が割り当てられている必要があります。権限を取得すると、SAP Concur エディションに応じて以下のいずれかのパスに従って、 [SSO の管理] ページにアクセスできるようになります。

SAP Concur Professional Edition:

  1. [管理] > [会社] > [認証管理] に移動します。

英語のみ

  1. [シングル サインオンの管理] をクリックして、[SSO の管理] ページにアクセスします。

英語のみ

または、以下のいずれかの URL を使用して、ページにアクセスすることができます。

US DC 本稼動: https://www.concursolutions.com/nui/authadmin/ssoadmin

US DC テスト: https://implementation.concursolutions.com/nui/authadmin/ssoadmin EMEA DC 本稼動: https://eu1.concursolutions.com/nui/authadmin/ssoadmin EMEA DC テスト: https://eu1imp.concursolutions.com/nui/authadmin/ssoadmin CN DC 本稼動: https://www.concurcdc.cn/nui/authadmin/ssoadmin

 注記

権限を取得しておらず、自分のプロファイルに割り当てることもできない場合は、会社のサポート問合せ権限の保持者に依頼し、SAP Concur Support までお問い合わせください。

SAP Concur Standard Edition:

  1. [管理] > [経費の設定] に移動します。

英語のみ

  1. [Concur にアクセス] で、[1 つの詳細設定を表示] をクリックします。

英語のみ

  1. [シングル サインオンの管理] をクリックして、[SSO の管理] ページにアクセスします。

英語のみ

Google Workspace (IDP) アプリの構成

ステップ 1: SAP Concur メタデータの取得

これを完了するには、本ガイドの前述の準備セクションの指示に従って、SAP Concur アカウントにログインし、[SSO の管理] セクションにアクセスする必要があります。[SSO の管理] ページで SAP Concur メタデータを取得するには、[URL をコピー] をクリックしてから新しいブラウザ タブにその URL を貼り付けるか、[ダウンロード] をクリックしてダウンロードしたファイルを開きます。

英語のみ

ステップ 2: 独自のカスタム SAP Concur SAML アプリの設定

  1. Google 管理コンソールにサイン インします。

 注記

(スーパー管理者権限を持つアカウント (@gmail.com などで終わらないアカウント) を使用してサイン インします)。

  1. 管理コンソールのホーム ページから、[ウェブ アプリとモバイル アプリ] に移動します。
  2. [アプリを追加] をクリックして、カスタム SAML アプリを追加します。
  3. [アプリの詳細] ページで、以下の手順に従います。

カスタム アプリ名

カスタム アプリの名前 (例: SAP Concur) を入力します。

(任意) アプリ アイコンのアップロード

アプリ アイコンは、[ウェブ アプリとモバイル アプリ] 一覧、アプリの設定ページ、およびアプリ ランチャに表示されます。アイコンをアップロードしない場合は、アプリ名の最初の 2 文字を使用してアイコンが作成されます。

  1. [続行] をクリックします。
  2. [Google ID プロバイダの詳細] ページで、IDP メタデータをダウンロードするオプションを使用して、サービス プロバイダが必要とする

設定情報を取得します。

  1. (任意) 別のブラウザ タブまたはウィンドウで、サービス プロバイダにサイン インし、ステップ 4 で入力した情報を適切な SSO 構成ページにコピーしてから、管理コンソールに戻ります。
  2. [続行] をクリックします。
  3. [サービス プロバイダの詳細] ウィンドウで、アプリの以下の ACS URL およびエンティティ ID を入力します。

ACS URL

US (北米): https://www-us.api.concursolutions.com/sso/saml2/V1/ acs/

EMEA: https://www-emea.api.concursolutions.com/sso/saml2/ V1/acs/

中国: https://www-cn.api.concurcdc.cn/sso/saml2/V1/acs/

エンティティ ID

US (北米): https://us.api.concursolutions.com/saml2

EMEA: https://emea.api.concursolutions.com/saml2

中国: https://cn.api.concurcdc.cn/saml2

  1. 既定の [名前 ID] は第一メールです。複数値入力はサポートされていません。
  2. [完了] をクリックします。

ステップ 3: SAML アプリをオンに設定

  1. Google 管理コンソールにサイン インします。

 注記

(スーパー管理者権限を持つアカウント (@gmail.com などで終わらないアカウント) を使用してサイン インします)。

  1. 管理コンソールのホーム ページから、[ウェブアプリとモバイルアプリ] に移動します。
  2. SAML アプリを選択します。
  3. [ユーザー アクセス] をクリックします。
  4. 組織のサービスの可用性を切り替えるには、 全員に対して [オン] または全員に対して [オフ] をクリックしてから、[保存] をクリックします。
  5. (任意) 組織部門に対してサービスをオンまたはオフにするには、以下の手順に従います。左側で [組織部門] を選択します。

[サービスのステータス] を変更するには、[オン] または [オフ] を選択します。 以下のいずれかを選択します。

[サービスのステータス] が [継承] に設定されており、更新された設定を保持する場合は、親設定が変更された場合であっても [上書き] をクリックします。

[サービスのステータス] が [上書きされました] に設定されている場合は、[継承] をクリックして親と同じ設定に戻すか、[保存] をクリックして親の設定が変更された場合であっても新しい設定を保持します。

  1. 組織部門全体または組織部門内のユーザー セットに対してサービスをオンにするには、アクセス グループを選択します。詳細については、本書の

ユーザー グループへのアクセス付与を参照してください。

  1. SAML アプリにサイン インするためにユーザーが使用するメール アドレスが、Google ドメインへのサイン インに使用するメール アドレスと一致していることを確認します。通常、変更は数分で行われますが、最大 24 時間かかる場合があります。

 注記

現在、Google Workspace ではアサーションの暗号化はサポートされていません。これに関する詳細情報が必要な場合は、IDP サポートに連絡してください。

ステップ 4: SAP Concur サイトの構成

  1. [準備] セクションに記載されているステップに従って、[SSO の管理] ページに再度移動します。
  2. [IdP メタデータ] セクションで [追加] をクリックします。[IdP メタデータの追加] ウィンドウが表示されます。
  3. IdP 接続にフレンドリ名を付けて、それを [カスタムIdP 名] フィールドに入力します。
  4. ユーザーがサイン アウトした際にほかの場所にリダイレクトされるように [ログアウト URL] (任意) を入力します。

既定では、URL が入力されない場合、ユーザーは認証プロセスを開始した場所にリダイレクトされます。Google Workspace のログアウト エンドポイントは、[アプリケーションおよびリソース] > [テナント設定] > [アイデンティティ プロバイダ設定]

> [シングル ログアウト エンドポイント] で確認することができます。

 注記

シングル ログアウト (SLO) は SAP Concur で正式にはサポートされていないため、SLO エンドポイントでのログアウト プロセスは、SAP Concur に加えて IDP からユーザーを切断することに関しては、SLO エンドポイントを使用するログアウト プロセスは期待どおりに動作しない可能性があります。そのような場合、ユーザーは SAP Concur からはログアウトされますが、Google Workspace からは完全にログアウトされないことがあります。

  1. [IdP のメタデータのアップロード] セクションで、[XML ファイルのアップロード] をクリックし、IdP から以前にローカルに保存されたメタデータ ファイルをアップロードします。
  2. モバイルでサインイン オプションを非表示にし、concursolutions.com からサインインするには、[この SSO オプションを、Web またはモバイルから Concur にサインインするユーザーに対して非表示にする] チェックボックスを選択します。

既定では、このオプションは、ユーザーが concursolutions.com またはモバイル アプリから SP-initiated サインインを開始するときに、ユーザーに表示されます。このオプションは、ユーザーに IdP-initiated フローからサインインするように求める場合に非表示にすることができます。

  1. [メタデータの追加] をクリックします。
  2. 正常に追加されたか、追加中に問題が発生したことを示す、以下のプロンプトのいずれかが画面に表示されます。

英語のみ

英語のみ

後者の場合は、SAP Concur Support に連絡し、相関 ID を提供してください。上記のステップ 3 で、SP-initiated フロー (SAP Concur のパブリックサイトを経由:

https://www.concursolutions.com/nui/signin) を使用する場合は、ユーザーが [ユーザー名] を提供し、[次へ] (以下のイメージを参照) を押すとすぐに、 [カスタム IdP 名] が [サインイン] ページに表示されます。たとえば、[カスタム IdP 名] が "Google SSO" の場合、以下に示すように、すべてのユーザーにオプション [Google SSO でサインイン] が表示されます。

英語のみ

SSO ログインのテスト

前のステップで IdP メタデータが SAP Concur に正常にアップロードされると、SSO のテストを開始できます。IdP-Initiated (アイデンティティ プロバイダ側で開始される) フローとSP-Initiated (サービス プロバイダ側で開始される) フローをテストします。

  1. IdP-Initiated SSO のテスト

IdP-Initiated フローでは、アイデンティティ プロバイダでログイン プロセスを開始します。これをテストするために、構築したアプリケーションから Google Workspace の SSO エンドポイントにパラメーターを追加することができます。

IdP-Initiated URL の例:

形式: https://accounts.google.com/o/saml2/

initsso?idpid=CLIENT_IDP_ID&spid=SERVICE_PROVIDER_ID&forceauthn=false

例: https://accounts.google.com/o/saml2/ initsso?idpid=C03j4v82&spid=710982774547&forceauthn=false

 注記

CLIENT_IDP_ID および SERVICE_PROVIDER_ID に、Google Workspace の値を入力する必要があります。これは、アプリケーションの [SAML ログインのテスト] ボタンから URL をコピーして取得できるものです。

  1. SP-Initiated SSO のテスト

SP-initiated フローをテストするには、SAP Concur ログイン ページを開く必要があります。

US DC 本稼動: https://www.concursolutions.com/

US DC テスト: https://implementation.concursolutions.com/ EMEA DC 本稼動: https://eu1.concursolutions.com/ EMEA DC テスト: https://eu1imp.concursolutions.com/ CN DC 本稼動: https://www.concurcdc.cn/

ログイン ページでユーザー名、確認済みメール アドレス、または SSO コードを追加して続行できます。[次へ] をクリックすると、最近作成した SSO 構成のオプションが表示されます。そのオプションをクリックし、Google アカウントへの認証に進むことができます。その後、Google アカウントから SAP Concur にリダイレクトされます。

モバイル シングル サインオン (SSO)

SAMLv2 プラットフォームで作成された SSO 構成の場合、モバイル SSO はメタデータが保存されるとすぐに自動的に有効になります。ただし、このオプションが機能するには、SP-Initiated フローが機能している必要があります。これは、本ガイドの "SSO ログインのテスト" セクションで検証できます。

モバイル アプリで SSO の認証に問題がある場合は、SAP Concur Support チームにチケットを作成し、表示されたエラー ID やメッセージを提供してください。

別の IdP を使用していて、モバイル SSO をすでに使用している場合は、サインインを試みると次の 2 つのオプションが表示されます。

英語のみ

[モバイル SSO でサインイン] オプションにより以前の IdP リンクが埋め込まれるため、ユーザーは以前の SSO 接続にリダイレクトされます。いずれの場合も、SAP Concur Support チームにチケットを作成し、以下の情報を提供してください。

ユーザーが以前の (従来の) バージョンを使用する予定の場合は、サポートが従来のアプリ バージョンに対してモバイル SSO を有効化できるように、Google Workspace 側で構築されたアプリケーションの IdP-Initiated URL を提供してください。URL の取得方法の詳細については、本ガイドの ʻSSO ログインのテスト > IdP-Initiated SSO のテスト’ セクションを参照してください。

ユーザーを混乱させないために [モバイル SSO でサインイン] オプションを削除する場合、サポート チームにご連絡ください。

モバイル アプリで SSO の認証に問題がある場合は、SAP Concur Support チームにチケットを作成し、表示されたエラー ID やメッセージをスクリーンショットとともに提供してください。

メール通知

備忘メールに SSO URL を反映する構成は、SAP Concur Support が完了する必要のある変更です。続行するには、SAP Concur Support チームにチケットを作成し、サポート チームがメールのリダイレクト URL を調整できるように、

IDP 側で構築されたアプリケーションの IDP URL を提供します。URL の取得方法の詳細については、本ガイドの SSO ログインのテスト > IdP-Initiated SSO のテスト セクションを参照してください。

URL は [レポートの表示] ボタンに埋め込まれて表示されます。

この変更は変更後に生成されたメールにのみ反映されます。変更前に生成されたすべてのメールは以前の URL を引き続き使用します。

この変更は更新後 4 時間以内に有効になります。

英語のみ

[レポートの表示] ボタンにカーソルを合わせると、現在埋め込まれている URL が表示されます。URL は語句 “ctedeepurl=” と “&hpo=” の間に表示されます。

展開

新しい SSO 構成をテストしたら、このアクセスが必要なすべてのユーザーおよびグループに Google Workspace アプリケーションを割り当てることで、展開の計画を立てることができます。

[SSO の管理] ページでは、SSO 設定を [SSO 任意] から [SSO 必須] に変更することで、この新しい SSO 接続を強制するオプションも提供されます。この設定を変更する場合、ユーザーは SP-initiated フローからユーザー名を提供するだけで Concur にリダイレクトされるようになります。

英語のみ

過去の変更を表示

この機能は、[SSO の管理] ページで完了したすべての変更を管理者が追跡できるようにするために開発されました。現時点までに行われた SSO 構成への変更を表示するには、[過去の変更を表示] ボタンをクリックします。

以前の変更がリストされた表が表示され、日付と時刻の降順で並べ替えられています。テーブルには、過去に行われた 100 件の変更が表示されます。テーブルにリストされる変更内容としては、以下のようなものが含まれます。

構成の追加

構成の削除

[カスタム IdP 名]、[ログアウト URL]、または [非表示] フィールドの編集

テーブルに一覧表示されている特定の変更に関する詳細情報を表示するには、目的のリスト項目の [表示] リンクをクリックします。

英語のみ

各ログの内部では、[会社] および [変更者] フィールドが [名姓] [(UUID コード)] 形式で表示されます。これは、そのようなアクションを行ったユーザーを意味します。そのユーザーに見覚えがない場合は常に、サポートに問い合わせて、詳細をリクエストすることができます。

構成が削除されている場合、[過去の変更を表示] に [復元] ボタンが含まれているため、削除された構成を元に戻すことができます。構成が復元されると、この構成をサインイン プロセス中にユーザーが使用できるようになります。

詳細: 次の文書リソースを参照してください。

SAP Concur - SSO Overview Guide SAP Help Portal - SAP Single Sign-On